La première faille lui permet d'inclure un script dans un fichier témoin (cookie), puis de faire exécuter ce script. Comme il provient alors de votre disque dur, et non d'Internet, Internet Explorer lui accorde davantage de permissions et il peut faire plus de dégâts.

La deuxième faille permet à un créateur de sites Web de déclencher l'ouverture de n'importe quelle application sur votre ordinateur, sans même que vous n'ayez à cliquer sur quoi que ce soit et même si le Active Scripting ou les scripts ActiveX sont désactivés, ce qui est plutôt impressionnant. Heureusement, le pirate ne serait pas capable de transmettre des paramètres à l'application en question et rares sont les applications qui causent problème du simple fait d'être ouvertes. À moins, bien sûr, que quelqu'un ait préalablement copié un fichier .exe sur votre ordinateur. Pour une démonstration (sans danger), rendez-vous ici et cliquez sur «Simple» au bas de la page.

Dans ce deuxième cas d'ailleurs, la rustine de Microsoft n'adresse pas le problème directement et la faille reste toujours. Elle n'est que plus difficilement accessible. La rustine empêche une application d'être lancée à partir d'une page Web en ligne, du corps du texte d'un courriel ou d'un fichier joint à un courriel. En revanche, il est toujours possible de l'utiliser à partir d'un fichier entreposé sur sa propre machine.

Il serait donc possible qu'un utilisateur qui reçoive un courriel avec, pour pièce jointe, un fichier HTML malicieux et ne pouvant réussir à l'ouvrir directement, le sauvegarde sur son ordinateur et l'ouvre par la suite, ce qui le rendrait vulnérable. Avouons toutefois que le rapport danger/probabilité est assez faible.

La rustine s'applique aux versions 5, 5,5 et 6 d'Internet Explorer.

Vous aimez ce logiciel, vous le détestez ou vous voulez en parler: Commentez!

La rustine (téléchargement)

Jean-François Codère Megagiciel.com 2 avril 2002   Suggérez ce texte à un ami!