Le pire bug jamais découvert sur IE 5

On ne compte plus les bugs d'Internet Explorer mais le dernier découvert risque de faire du bruit. Le trou de sécurité permet à n'importe quelle page web de placer un programme sur le disque dur de la victime, programme qui sera executé lors du redémarrage de Windows. Parmi les joyeusetés possibles, l'execution de deltree (programme ms-dos permettant la suppression de répertoires) avec les arguments *.* (tous les répertoires) et /y (sans demande de confirmation). Les amateurs du genre préfèreront peut-être les virus.
Le bug a, une fois de plus, été révélé par le Bulgare Georgi Guninski qui a affirmé qu'il s'agissait du bug le plus terrible jamais mis à jour. Le chasseur de bugs a posté le code source de son exploit sur sa page personnelle et prétend que tout utilisateur d'IE 5 ou d'Outlook Express 5 peut être contaminé sans même s'en apercevoir.
Le problème provient d'un contrôle Active X de création de librairies pour les scriplets. Malheureusement, ce contrôle a accès en écriture à tout le disque dur. Un fichier html peut être construit et être inséré dans le menu démarrage. Au prochain reboot de la machine, le code sera executé arbitrairement.
Les utilisateurs francophones sont immunisés a priori par la barrière de la langue. Le script en question place la page html pirate dans le menu "startup", menu qui n'existe pas en Français. Les francophones seront protégés des pirates américains mais pas des français: la modification est très simple à mettre en place.
La protection ultime consiste à désactiver les contrôles ActiveX. Dommage pour tous les sites utilisant ces scripts... Microsoft au premier rang. Des patches devraient apparaître... [Alain Steinmann, JI]