Une nouvelle faille de type 0day (c’est-à-dire non corrigée) touche le navigateur Internet Explorer de Microsoft, qui est le butineur le plus utilisé sur la toile. Cette fois, le bug concerne les fonctions d’active scripting d’Internet Explorer, et plus précisément la fonction CreateTextRange(). Lorsque cette méthode est utilisée à l’intérieur d’une balise définissant un bouton radio, il est possible de déclencher un débordement de la heap, qui conduit à l’exécution de code arbitraire.
La faille était connue de plusieurs sociétés de sécurité dont les danois de Secunia, ou encore les britanniques de Computer Terrorism. Mais c’est un néerlandais, Jeffrey Van der Stad qui l’a rendue publique en premier, sans révèler les codes d’exploitations. Un exploit public a cependant rapidement été développé par les russes de l’équipe de recherche « underground » Unl0ck ( http:[click] ).
Alors que le correctif officiel de Microsoft est pour l’instant annoncé pour le 11 avril, plusieurs sociétés ont mis à la disposition des internautes des patchs non officiels. Tout d’abord la société américaine Eeye a mis en ligne un correctif, accompagné peu après par son code source ( http:[click] ). Une autre entreprise américaine, Determina, spécialisée dans les solutions de préventions des intrusions, a également adopté cette pratique ( http:[click] ).
Microsoft pour sa part recommande, en attendant d’installer le patch officiel, de désactiver la fonction Active Scripting d’Internet Explorer. Précisons que le développement d’un patch officiel est un travail important car l’éditeur doit réaliser de nombreux tests de non-regression et de compatiblité. Il est donc recommandé de s’en tenir aux conseils de l’éditeur et de ne pas installer les patchs non officiels (à moins que la fonction Active Scripting soit réellement nécessaire).
Le code d’exploitation de cette faille non corrigée étant largement public, elle est susceptible d’être utilisée par des codes malveillants lors des prochaines semaines.
