Microsoft a publié hier un bulletin de sécurité faisant état d'une faille d'Internet Explorer 6 sous Windows XP qui a été reporté à l'éditeur. Celui-ci reconnait l'existence du problème.

Redmond explique que la faille peut toucher les utilisateurs qui se servent d'Internet Explorer avec un mode protégé désactivé. Dans ce cas, il est possible à un attaquant de récupérer des fichiers sur la machine attaquée, à condition que les noms et les localisations des dits fichiers soient connus à l'avance de l'attaquant. L'attaque se fait classiquement via un site web exposant un contenu malicieusement conçu.

Microsoft déclare poursuivre ses investigations au sujet du problème. La bonne nouvelle est qu'il n'y aurait pas d'exploit de cette vulnérabilité. La mauvaise nouvelle est qu'il y a un peu plus qu' IE 6 et Windows XP à être touchés. Voici la liste des logiciels affectés:

Internet Explorer 5.01 Service Pack 4 sur Microsoft Windows 2000 Service 4; Internet Explorer 6 Service Pack 1 sur Microsoft Windows 2000 Service Pack 4 et Internet Explorer 6, Internet Explorer 7, and Internet Explorer 8 sur Windows XP Service Pack 2, Windows XP Service Pack 3, and Windows Server 2003 Service Pack 2.  A cela il est ajouté que Windows Vista, Windows Server 2008, Windows 7, et Windows Server 2008 sont susceptible d'être vulnérable si Internet Explorer est utilisé sans le mode protégé.

Microsoft devrait publier un correctif prochainement. En attendant, le bulletin propose des solutions de contournement, qui, Microsoft le précise clairement, peuvent limiter les risques, mais n'en protègent pas totalement.

Pour en savoir plus : le bulletin de sécurité de Microsoft