Nouvelle faille "zero day" pour Windows

Vendredi dernier, Microsoft a reconnu, dans un bulletin de sécurité publié sur son site, qu'une nouvelle faille sans correctif à ce jour affectait Windows. Cette dernière, touchant le protocole MIME HTML (ou MHTML, format permettant l'agrégation des éléments d'une page HTML au sein d'un seul fichier), peut être exploitée par des hackers pour faire fonctionner des scripts infectieux au sein d'Internet Explorer. Selon des experts en sécurité, la faille ressemble à un trou XSS (cross-site scripting), technique permettant d'insérer un script malicieux dans une page Web afin de prendre le contrôle d'une machine. Afin, par exemple, sur des messageries online, d'envoyer des messages comme si l'assaillant était le détenteur du compte piraté.

Cette nouvelle vulnérabilité, mise au jour par le site chinois WooYun.org qui a publié un code de proof of concept, concerne avant tout les utilisateurs d'Internet Explorer, seul vecteur d'attaque connu à ce jour (notons que les navigateurs Chrome et Safari ne supportent pas le MHTML et que Firefox nécessite un plug-in pour ce faire), même si la faille réside bien dans Windows. Toutes les versions de l'OS (XP, Vista et 7) sont concernées.

En attendant une rustine, Microsoft recommande de bloquer le protocole MHTML via un petit outil qu'il a mis à disposition sur son site.