Double trou dans Internet Explorer
Une faille hypothétique d'I.E. est revendiquée par un informaticien hollandais, Jeffrey Vanderstrad, annonce non accompagnée du moindre PoC public. Etrangement, Microsoft en profite pour répondre non officiellement sur l'un des blogs du Technet, en précisant que l'exploitation du défaut « could cause IE to fail »... pas de quoi échafauder des théories sur les mécanismes fautifs. La remontée de bug de la part de Vanderstrad s'est opérée via l'antenne Néerlandaise de MS. L'inventeur de la faille n'est pas un chercheur « actif » dans le secteur de la sécurité. Andreas Sandblad, en revanche, est loin d'être un inconnu. Et lorsqu'il signale, sur Secunia, l'existence d'un problème dans la fonction CreateTextRange() d'I.E., la réponse -toujours non officielle et bloguesque- de Microsoft est plus respectueuse et précise. Le trou découvert pas Sandblad appartient à la famille des corrupteurs de Heap, et peut donc conduire à l'exécution distante d'un programme. Niveau hautement critique donc si un PoC est développé. Dans les deux cas, le Security Team assure travailler activement sur les problèmes. Une rustine cumulative est donc à prévoir pour le 11 du mois prochain... En attendant, l'équipe de Secunia conseille, une fois de plus, de désactiver l'Active Scripting des actuelles éditions d'I.E.