Les navigateurs ont mauvais caractère
... et le mauvais caractère en question est « l'unicode 7 bits », ou UTF-7, lequel permet de lancer une attaque en cross site scripting contre un poste client, lorsqu'un certain nombre de conditions précises sont réunies (héritage du jeu de caractères de la page « parent » lorsque l'entête « HTTP Content-Type » ne définit pas le « charset » à employer). Un bug relativement ésotérique, d'une nocivité proche de l'inverse de l'infini, mais qui a la particularité amusante de frapper à la fois Firefox dans les versions égales ou antérieures à la 2.0.0.1, I.E. 7 et Opera 9. Et Stefan Esser l'inventeur du trou de préciser qu'I.E. 6 et Opera 8 ne connaissaient pas ce genre de désagrément. Du coup, Mozilla en a profité pour boucler sa 2.0.0.2 et intègre cette faille dans un lot de corrections colmatant 7 autres défauts, dont les fameux bugs Michal Zalewski. Le niveau général de dangerosité du bulletin s'en trouve un peu plus épicé, puisque Secunia estime les vulnérabilités « hautement critiques ». Près de 6 Mo, donc, à récupérer rapidement, certaines de ces failles étant aisément exploitables après la médiatisation qui en a été faite.
