Un porte-parole de Microsoft a confirmé que les utilisateurs de Windows 2000 SP4 et de Microsoft XP SP2 étaient effectivement touchés par cette nouvelle vulnérabilité. Les utilisateurs de Windows Server 2003 et Windows Server 2003 SP1, dans leur configuration par défaut avec l'option de sécurité avancée active, ne sont pas vulnérables.
L'auteur de cet exploit qui pourrait causer des ravages est un groupe de pirates anglais au nom évocateur de « Computer Terrorism ». L'exploitation de la faille permettrait d'éxecuter du code arbitraire à distance sans aucune interaction avec l'utilisateur du navigateur Microsoft.
Le problème est localisé dans l'initialisation de la fonction Javascript Window() lors de son utilisation conjointe avec l'événement "body onload".
Johannes Ullrich, CTO SANS ISC commente cette faille est inciste sur le fait qu'il suffit de naviger sur un site internet piégé avec un navigateur vulnérable pour se faire avoir...
Il est conseillé aux utilisateurs de Microsoft Internet Explorer de désactiver l'option "Active Scripting". D'autres préconisent d'abandonner IE au profit de navigateurs alternatifs comme browsers comme Firefox ou Opera.
Flux Rss
Version PDF
Commenter 
Un bout de code encore inconnu et récemment publié sur la toile permet l'exploitation à distance d'une nouvelle vulnérabilité affectant Microsoft Internet Explorer. Des millions d'utilisateurs seraient exposés à cette faille pour laquelle aucun correctif n'existe à l'heure actuelle. 
