Microsoft, d’un trou à l’autre

Tout commence par un bulletin d’alerte 977981 et un billet sur le blog du MSRC, qui préviennent tous deux d’une faille à priori non exploitée publiquement affectant I.E. 6 et 7. Le conseil logique étant bien entendu de « migrer vers I.E. 8 » ou, tout au moins, de désactiver l’active scripting, compte tenu du fait qu’un PoC relativement instable est publié dans les colonnes du Bugtraq. Mais deux jours ne se sont pas écoulés après cette annonce qu’une autre alerte est émise… I.E. 8 est à son tour victime d’un défaut facilitant une attaque en cross-site scripting provoqué, comble de l’ironie, par un mécanisme servant à protéger le navigateur contre les XSS. La présence de ce trou a été révélée par Dan Goodin, correspondant du Register aux USA. Les détails sur l’exploitation et l’origine de l’information n’ont pas été dévoilés au moment où nous rédigeons ces lignes.