Internet Explorer est victime de deux nouvelles vulnérabilités exploitables malgré le Service Pack 2 de Windows XP. Elles permettent l'exécution de code sur le PC de la victime et peuvent être menées depuis un site web malicieux. Il n'y a aucun correctif pour l'instant.
Même si le Service Pack 2 de Windows XP constitue une véritable avancée pour la sécurité de ce système, il n'en demeure pas totalement étanche pour autant. Deux vulnérabilités pour Internet Explorer viennent ainsi d'être annoncées, et elles sont parfaitement exploitables même sur les PC protégés par le SP2 et les tous derniers correctifs de sécurité.
Dans les deux cas, il s'agit d'une erreur de validation de l'origine du code HTML, qui permet au pirate d'agir sur la zone dite "locale", censée être mieux protégée.
Pour que l'attaque soit efficace, ces deux failles doivent être exploitées en collaboration : la première permet de déposer automatiquement un fichier HTML contenant du code actif sur le système. A ce stade cependant, le SP2 fait correctement son travail et il en interdira l'exécution comme il se doit.
Mais la seconde faille permet, à partir d'un simple fichier d'index piégé déposé sur un site web, d'exécuter n'importe quel code actif présent sur le système, en dépit de la vigilance du SP2.
Selon la société Secunia, qui reprend cette alerte, l'attaque a été testée avec succès sur un système Windows XP doté d'Internet Explorer 6.0, entièrement mis à jour et doté du Service Pack 2. En attendant le correctif, il est conseillé d'utiliser un autre navigateur ou de désactiver l'exécution de code actif (Javascript, VBScript, etc...).
Il n'y a pas de correctif à cette faille pour l'instant. Elle sera probablement prise en charge dans le bulletin d'alerte mensuel du mois de novembre.
Mode linéaire
