Microsoft a annoncé aujourd'hui avoir rendu disponible des mises à jour à quatre de ses logiciels, tous vulnérables à des attaques d'importance significative. Internet Explorer est encore une fois du nombre.
Les logiciels mis à jour sont Internet Explorer, Commerce Server 2000, SQL Server ainsi que les XML Core Services (version 2.6 et plus).
Sans cette nouvelle mise à jour, Internet Explorer rend possible l'utilisation de scripts VBScript au sein d'un cadre (frame) pour lire les données affichées dans un autre cadre. Un pirate peut en profiter pour accéder à un fichier hébergé sur le disque dur de l'internaute, à condition que ce fichier soit lisible par Internet Explorer et d'en connaître la position précise. Il pourrait aussi épier les informations affichées sur des pages affichées subséquemment par le fureteur, y compris des informations sensibles comme des numéros de cartes de crédit.
Le problème affecte la plupart des versions d'Internet Explorer depuis la version 5.01.
Pour sa part, le module XML Core Services est livré avec Windows XP. Il s'agit d'un contrôle ActiveX permettant à des pages Web utilisant du XML d'envoyer et de recevoir des données en utilisant le protocole HTTP. Malheureusement, certaines des données émises pourraient être tirées du disque dur de l'internaute si la mise à jour n'est pas effectuée.
Les serveurs aussi sont à risque
Finalement, Commerce Server 2000 et SQL Server (2000 et 7.0) sont tous deux vulnérables à des débordements de la mémoire tampon qui pourraient les rendre utiles dans le cadre d'attaques par déni de service (
denial of service) contre d'autres ordinateurs.
Jean-François Codère
Les mises à jour Internet Explorer, XML Core Services, Commerce Server 2000, SQL Server 2000 et SQL Server 7.0
