Le Weblog de Frederic Bezies

Y a pas à dire, mais je pense que le record de vitesse de publication d’une faille a été battu. Une première faille – de faible dangerosité – touche déjà IE7 qui vient à peine de sortir. Merci à BloodReaver pour l’info.

Secunia l’a répertorié ici, et voici le descriptif :

A vulnerability has been discovered in Internet Explorer, which can be exploited by malicious people to disclose potentially sensitive information.

The vulnerability is caused due to an error in the handling of redirections for URLs with the « mhtml: » URI handler. This can be exploited to access documents served from another web site.

Ce qui donne traduit :

« Une vulnérabité a été découverte dans Internet Explorer, qui peut être exploité par des personnes mal intentionnées pour publier des informations sensibles à l’insu de l’utilisateur.

La vulnérabilité est causé par une erreur dans la manipulation des redirections des URLS en « mhtml: » Cela peut être exploité pour accéder à des documents disponible sur un autre site web. »

Suite une preuve de faisabilité.

Et dire que Microsoft avait fait de la pub sur la sécurisation de son navigateur… Dommage !

Modification au 20 octobre – 14 h 39 : Ce serait une faille dans Outlook Express ?! Enfin, dixit cet article de PC-Inpact.

Affaire à suivre, cependant.

Du moins, dixit la page de téléchargement disponible chez Microsoft.

Et il y a plusieurs limites : déjà, seule la version en-US est disponible. De plus, comme cela était prévu, le nombre de Windows pouvant l’installer est assez restreinte techniquement : le ticket d’entrée étant un Windows XP avec le service pack 2.

Si vous parlez français (150 millions de personnes environ), espagnol (380 millions de personnes environ), chinois (plus d’un milliard), il faudra patienter deux à trois semaines pour avoir une version dans votre langue maternelle… Dixit le blog des développeurs d’IE7 :

[… ]In two to three weeks, we’ll ship the Arabic, Finnish, French, German, Japanese, and Spanish language versions.[..]

Traduit : D’ici deux à trois semaines, nous publierons les versions en Arabe, Finlandais, Français, Allemand, Japonais et Espagnol »

Et comme le maitre mot de cette version est sécurité – j’en vois qui rigole au fond de la salle – les activeX sont désactivés par défaut… Toujours, dixit le blog des développeurs d’IE7 :

An important part of the ActiveX opt-in feature is doing good housekeeping of the ActiveX controls that come with Windows.[…]As we can infer from HD Moore’s month of browser bugs, using the newer controls and leaving older controls disabled helps reduce the chances of user being exposed to a security or stability issue in an older control.

Ce qui donne traduit : « Une partie importante de la fonctionnalité de gestion est de faire du bon ménage dans les contrôles ActiveX qui sont fournis avec Windows.[…] Comme nous avons pu le déduire des mois à bogues du navigateurs, utiliser les nouveaux controles et laisser les anciens désactivés réduisent les chances d’être exposé à un problème de sécurité ou de stabilité d’un ancien contrôle. »

C’est Jérome Vachez, propagandiste acharné des activeX qui va nous faire une jaunisse…

Maintenant, ultime question : combien de temps avant qu’IE7 ne soit lançable sous Linux grace à un outil comme IEs4Linux ?