au sommaire
Logo Internet Explorer
Le navigateur se ferme « de manière inattendue » et laisse en mémoire un petit programme disposant de tous les droits de l'utilisateur. Si celui-ci est administrateur, le logiciel pirate (un code Javascript) aura alors un ordinateur à disposition pour expédier des malwares un peu partout sur la planète.
Cette piraterie passe par l'infection d'un site Web. « A ce jour, MicrosoftMicrosoft a connaissance d'attaques visant à exploiter cette vulnérabilité sous Internet Explorer 7 » indique l'avis de sécurité 961051. Mais contrairement à ce que Microsoft avait initialement affirmé, cet avis précise que les autres versions d'Internet Explorer, depuis la 5.01 SP4 jusqu'à la 8 BêtaBêta 2, sont « potentiellement vulnérables ».
Un patch devrait être publié aujourd'hui à 18 heures TU (temps universel), alors que cette faille a été découverte le 11 décembre.
Il est vrai que la semaine a été rude puisque le précédent bulletin de sécurité indiquait 8 mises à jour, dont 6 critiques, qui comblaient pas moins de 28 failles dans différents logiciels, un record historique. Comme si cela ne suffisait pas, une vingt-neuvième faille, énorme, était ensuite découverte dans Wordpad, le Bloc-notes.
Cet éditeur de texte peut ouvrir des documents au format de Word 97. Mais en leur donnant l'extension .wri (celle, native, de Wordpad), on peut installer un code capable de prendre le contrôle de l'ordinateur. A ce jour, cette porteporte ouverte n'est pas refermée... Mais plusieurs versions de Windows y échappent : XP SP3, VistaVista et Server 2008. Utilisateurs de XP, pensez donc à installer le Service PackPack 3 !