Un correctif ne provenant pas de Microsoft

Un groupe de programmeurs «open source», exaspérés de constater que Microsoft ne réagissait pas à une faille de sécurité majeure dans son navigateur Internet Explorer, a décidé de créer sa propre rustine.



Personne n'a cependant voulu donner son approbation à ce correctif qui prétend éliminer une faille de sécurité importante dans le navigateur Internet, pas même Microsoft. Des analystes se demandent comment des gens peuvent avoir confiance en ce correctif qui a été créé par des programmeurs qui n'ont même pas accès au code source du navigateur.

Le correctif a été publié pour une première fois sur Openwares.org. Un autre site Internet, K-Otik, déconseille fortement l'installation de ce correctif qui rend Internet Explorer vulnérable à une attaque de type buffer overflow et peut-être incompatible à de prochaines mises à jour officielles.

La faille de sécurité à l'origine de ce correctif "officieux" se situe au niveau de l'affichage d'adresses URL. Des personnes malveillantes pourraient rediriger les internautes vers des sites Internet autres que celui qu'ils croient visiter en insérant une série de caractères dans l'adresse. Par exemple, en insérant quelques caractères après l'adresse URL d'un site, comme "%01", "%00" et "@" suivi d'une deuxième adresse URL, le navigateur affichera le premier site dans la barre d'adresse, mais redirigera le visiteur vers le second qui pourrait l'inciter à fournir des renseignements personnels en croyant qu'il est sur un site en lequel il peut avoir confiance.

Microsoft affirme être au courant de cette faille, mais ne la juge pas critique. Cette faille n'affecte pas les sites sécurisés (https://) et ne risque donc pas de causer des fraudes bancaires qui seraient la principale cause d'arnaques. L'éditeur dit travailler sur un correctif, mais ne sait pas quand il la publiera. En attendant, Microsoft donne quelques conseils pour éviter d'être victime d'une telle arnaque (en anglais).