Une nouvelle faille dans Internet Explorer

Quand on est utilisateur d'Internet Explorer, il vaut mieux être un assidu du site Internet de Microsoft, pour préserver la sécurité de son système. L'éditeur vient en effet d'annoncer la mise à disposition d'une mise à jour permettant de corriger un nouveau trou de sécurité, récemment découvert dans Internet Explorer. Celui-ci peut permettre à des opérateurs de sites web ou à des personnes mal intentionnées de faire planter l'ordinateur connecté à un site exploitant cette faille.

Le problème se situe en fait au niveau de la technologie Active Setup Download du navigateur, qui est normalement destinée à accélérer les mises à jour, en détectant les fichiers ayant besoin d'être remplacés. Malheureusement, cette fonctionnalité est programmée pour télécharger automatiquement, sans demander la permission de l'utilisateur, les fichiers provenant de Microsoft et certifiés comme tels. De plus, si un fichier, même certifié par Microsoft, est téléchargé dans un chemin spécial, sur le disque de l'utilisateur, il peut écraser les fichiers qui s'y trouvaient et conduire à un blocage du système. Ce trou de sécurité se révèle être en fait une combinaison de deux failles. Il est aussi probablement possible de récupérer des fichiers certifiés comme provenant de Microsoft en les téléchargeant sur le site web de l'éditeur.

En revanche, d'après Microsoft, ce problème ne peut conduire au vol des données des utilisateurs, le seul risque étant un plantage du système. [Ludovic Blin, JDNet]