En février dernier, nous vous parlions d'une étude réalisée par l'université de Berkeley concluant qu'Internet Explorer a été sûr pendant 7 jours en 2004. Cela signifie que pendant les 358 autres jours, une (ou plusieurs) faille exploitable était révélée publiquement mais aucun correctif de sécurité n'avait été publié.
Très souvent, c'est ActiveX qui est à l'origine de ces failles de sécurité. ActiveX est un composant logiciel d'IE permettant le dialogue inter-programmes. Pour un développeur, cette technologie est très puissante malgré le fait qu'elle ne soit disponible que sur les plateformes Windows. Le gros problème, c'est que depuis 6 ans (date de la publication d'IE 5.5), les failles critiques dues à ActiveX sont légions !
C'est encore le cas aujourd'hui ! En effet, un hacker nommé « Nop » vient d'identifier une faille dans l'ActiveX « DirectAnimation Path », dans la fonction « CpathCtl::KeyFrame() » pour être plus précis. Celle-ci permet d'exécuter un code arbitraire à partir d'une page piégée. Elle est qualifiée de critique car l'exploit (le code permettant d'exploiter la faille) est déjà disponible en ligne. Les experts en sécurité prévoient un grand développement du nombre de pages piégées dans les jours à venir ...

Encore pire, même les versions totalement à jours sont vulnérables. En effet, la FrSIT a confirmé la vulnérabilité pour IE6 avec Windows XP SP2 et les derniers patchs Microsoft. Rappelez vous que Microsoft publie ses patchs tout les mois, le second mardi de chaque mois pour être plus précis. Ce mois-ci, c'était il y a 4 jours. La prochaine fournée est prévue pour le 10 octobre.

D'ici là, toutes les versions d'IE sur toutes les plateformes Windows sont vulnérables. Enfin, pas vraiment toutes puisque Microsoft indique que Windows 2003 avec une configuration de sécurité étendue n'était pas affectée. Avant la publication d'un correctif (sur lequel la firme de Redmond serait entrain de travailler en ce moment même), Microsoft conseille de désactiver le support d'ActiveX et d'Active Scripting. Voici la marche à suivre:

• Dans IE, aller dans « Outils » => « Options »,
• Aller dans l'onglet « Sécurité »,
• Cliquer sur « Personnaliser le niveau »,
• Dans la partie « ActiveX et plugins » cocher « Désactiver » pour tout ce qui concerne ActiveX.

Désactiver ActiveX (Cliquez sur l'image pour l'agrandir).

Une autre solution, à plus long terme, consiste à installer et à utiliser Firefox (qui, lui, a été sûr pendant 339 jours en 2004 ...).