Des millions d’utilisateurs d’Internet Explorer 6 sont sous la menace de trois failles de sécurité « extrêmement critiques » donnant aux hackers l’accès aux PC équipés du navigateur, même dans le cas où le Service Pack 2 (SP2) de Windows XP a été installé.
Le premier problème concerne la fonctionnalité de glisser-déposer du navigateur, qui ne valide pas correctement les fichiers. Ce qui signifie qu’un document téléchargé à partir d’Internet par la méthode du glisser-déposer est susceptible de contenir un programme malveillant.
Les autres vulnérabilités affectent toutes les versions de Windows, y compris celles dont la zone locale a été verrouillée via le SP2. La première permet à des fichiers spécialement conçus (.hkk) d’être utilisés pour transporter des programmes malveillants sur les systèmes d’exploitation, tandis que la seconde, en ignorant une erreur de restriction de zone, pourrait autoriser le téléchargement involontaire de code à partir de sites Web.
Au moins une de ces failles a été signalée à Microsoft l’année dernière mais aucun correctif n’a été proposé par l’éditeur pour le moment. Dans un bulletin d’alerte, la firme de sécurité Secunia juge ces vulnérabilités « extrêmement critiques » et recommande aux utilisateurs d’abandonner Internet Explorer au profit d’un navigateur alternatif.
« Bien que des millions de dollars aient été dépensés pour sécuriser le SP2, la sécurité absolue est impossible. Grâce aux efforts conjoints de Michael Evanchik et Paul de Greyhats Security, une vulnérabilité critique a été découverte, capable de mettre en péril un système d’exploitation sans aucune interaction de l’utilisateur, en visitant simplement une page Web piégée » , prévient Secunia.
