Déjà une faille dans Internet Explorer 7 ?... Pas si vite

24h chrono ou 3 ans chrono ? 81
Voilà le genre de nouvelle à gâcher une fête : moins de 24 heures après la sortie officielle d’Internet Explorer 7, nouvel opus de Microsoft dans le domaine de la navigation, on vient d’y déceler une faille (testée sous XP SP2). La trouvaille est le fruit du laboratoire de sécurité Secunia, qui a publié un bulletin spécial. La vulnérabilité ne date pourtant pas d’hier. Elle remonte à novembre 2003 et affecte également Internet Explorer 6.

Pas de grande inquiétude puisqu’elle a été classée au niveau deux (« moins critique »), sur une échelle de 5, même si l'on évoque le risque théorique de chapardage de données confidentielles via la gestion des redirections « mhtml: ». En pratique, l'erreur de validation pourrait être exploitée par un site malveillant afin d'accéder à des données sensibles transmises par d'autres domaines. Et pour démontrer le tout, Secunia a mis en ligne un test inoffensif pour mesurer la solidité de son navigateur.

IE non, OE oui
Microsoft a cependant immédiatement atténué cette pseudo découverte via son blog dédié à a sécurité. Des investigations seraient en cours, mais Redmond prévient illico : « Ces informations sont techniquement incorrectes. Le problème concerné ici n’est pas Internet Explorer 7 (ou n’importe quelle autre version). Il s’agit au contraire d’un autre composant de Windows, spécifiquement d’Outlook Express ». En somme, Internet Explorer, quelle que soit la version, serait simplement l’un des moyens d’accès vers la faille, rien de plus. C’est déjà ça, pourrait-on dire, mais Microsoft relativise un peu plus, jurant qu’aucune attaque n’a été menée via cette faille.

Aucune faille sous Vista
« Nous opterons pour l’action appropriée afin de protéger les consommateurs, une fois l’enquête totalement achevée » explique au final Christopher Budd du Microsoft's Security Response Center.

S’il est donc un peu cavalier de parler d’une faille découverte en moins de 24h, Microsoft ne semble cependant pas rougir de ce trou découvert voilà 3 ans et non encore bouché. Par contre, les utilisateurs de Vista pourront se réjouir, la faille n’existe pas sous l’OS, puisqu’Outlook Express y a été remplacé par Windows Mail (voir notre capture de test).

vista IE7