Deux éditeurs de solutions de sécurité, Determina et eEye, viennent chacun de publier un patch de sécurité afin de protéger les utilisateurs d’Internet Explorer contre une nouvelle faille critique. Le correctif proposé par eEye aurait été téléchargé plus de 34.000 fois.

Cette nouvelle vulnérabilité a été découverte par un jeune hollandais de 25 ans Jeffrey van der Stad. Le problème de sécurité est lié à la façon dont le butineur de Microsoft lit les fichiers HTA (.hta). L’exploitation de la faille permet de prendre, à distance, le contrôle d’un système vulnérable à travers l’exécution d’un fichier HTA piégé.

Bien évidemment, L’éditeur de Redmond ne recommande pas à ses utilisateurs d’utiliser le correctif mis à disposition par les deux entreprises. Microsoft préconise plutôt de désactiver l’  » active scripting  » afin d’empêcher toute tentative d’exploitation de la faille.

En début d’année, les experts du SANS Institute avaient recommandé aux internautes concernés d’utiliser un correctif de sécurité développé par Ilfak Guilfanov qui permettait de se prémunir contre la vulnérabilité WMF en attendant que Microsoft corrige le problème. Concernant cette dernière faille, le SANS ne recommande l’installation d’aucun de ces deux correctifs.

Microsoft prévoit de rendre disponible un correctif lors du prochain  » patch day « , le deuxième mardi d’avril. Vu la criticité de la faille, il n’est pas exclu que l’éditeur publie un correctif officiel avant cette date.

Cette faille affecte les toutes dernières versions d’Internet explorer 6. Internet Explorer version 7 bêta 2 est également vulnérable.