Les neufs nouvelles failles découvertes dans Internet Explorer ont toutes un point commun : elles exploitent la conception un peu légère du navigateur dans ses contrôles de sécurité. Pour l’utilisateur, cela peut se traduire par un site pirate accédant aux cookies déposés sur son PC par d’autres sites (webmail, site marchand, etc…), à des documents dont il connaît l’emplacement à l’avance, au contenu du presse-papier et même exécutant le programme de son choix sur la machine. Ces failles concernent Internet Explorer 5.5 et 6, ainsi que les navigateurs AOL et MSN, qui utilisent le coeur d’Internet Explorer. La version 6 SP1 n’est touchée que par deux des neuf vulnérabilités, tandis que les versions antérieures à 5.5 ne sont pas concernées.Dans le détail, ces failles exploitent un « oubli » dans la conception d’Internet Explorer : ce dernier semble ne pas vérifier avec assez de sérieux les zones de sécurité respectives de deux fenêtres entre lesquelles il s’apprête à échanger des données. En théorie, il est nécessaire qu’elles soient toutes deux dans la même zone de sécurité (Internet ou Local), afin d’éviter, justement, le vol d’informations. Le navigateur de Microsoft effectue bien ces contrôles dans la majorité des cas, mais les « oublie » dans certains autres. C’est le cas notamment lorsqu’il est confronté à la mise en cache de certains objets (Object Caching, une méthode par ailleurs très pratique pour améliorer les performances dans de nombreux environnements). Internet Explorer ne contrôle pas dans ces cas là si les fenêtres appartiennent à la même zone, et permet donc à des objets issus de fenêtres différentes de communiquer.Il n’y a pour l’heure aucun correctif pour cette série de faille, et la seule solution est de désactiver le scripting.Contacté, Microsoft explique que les équipes du Microsoft SecurityResponse Center étudient actuellement ces failles et tentent de les reproduire. Aucune autre information pratique n’est disponible, si ce n’est que Microsoft « fait en sorte d’avancer au plus vite », selon Bernard Ourghanlian, Directeur Technique France de l’éditeur.Microsoft regrette cependant que Grey Magic ait publié l’alerte et le détail des failles avant de le prévenir. Un acte « irresponsable » selon lui. Grey Magic se justifie de son côté en précisant que par le passé, Microsoft n’a jamais agi rapidement lorsqu’il était contacté au préalable.