Les utilisateurs d’Internet Explorer et d’Opera
doivent-ils être plus vigilants que les autres ? C’est ce que suggère
Microsoft qui vient de publier une information sur une faille de
sécurité.
La faille est dite « zero day
», c’est-à-dire découverte alors qu’elle est déjà exploitable. Elle est
ouverte dans Internet Explorer et concerne le format MHTML. Avec un M
pour Mime (Multipurpose Internet Mail Extensions), cette manière de coder un script HTML permet d’encapsuler une page Web entière, avec tous ses éléments (photos, vidéos…), dans un seul fichier. Le codage Mime est utilisé dans les logiciels
de courrier électronique pour inclure dans un message un affichage
décrit en HTML ou même des caractères accentués, non prévus à l’origine
dans le courrier électronique qui ne connaissait que le code ASCII à 7 bits.
L’alerte de Microsoft
explique qu’Internet Explorer, en ouvrant ce genre de fichier, peut
exécuter consciencieusement les codes qui s’y trouvent encapsulés. Un
programme malveillant peut donc s’y cacher et être lancé à ce moment. Il
faut pour cela que l’utilisateur ouvre une page Web déclenchant
l’ouverture du fichier et clique là où on lui demande. Un logiciel de
messagerie reconnaissant le MHTML ferait de même, mais Outlook et
Windows Mail disposent d’une sécurité à cet égard et, par défaut,
désactivent ces scripts inclus dans un e-mail. Côté navigateurs, hormis Internet Explorer, seul Opera reconnaît ce format MHTML.
Les ingénieurs de Microsoft travaillent pour colmater la brèche…
Aucun commentaire:
Enregistrer un commentaire