Bonsoir,

Le navigateur Internet Explorer de Microsoft souffre d'une vulnérabilité lors de la manipulation de certains événements baptisés Drag-and-Drop. Par conséquent, cette faille peut permettre à un site Internet d'installer un dossier arbitraire sur le systéme ainsi pénétrer. Les systémes visés : Microsoft Internet Explorer 5.01 ; Microsoft Internet Explorer 5.5 ; Microsoft Internet Explorer 6.0 ; Windows 98 ; Windows 98 Second Edition ; Windows Millennium Edition ; Windows 2000 ; Windows XP ; Windows Server 2003. Un probléme qui ne semble pas avoir été corrigé alors que l'exploit est connu depuis 2003.

Securiteam qui a découvert le probléme a informé Microsoft de cette vulnérabilité le 3 août 2005. Actuellement, la compagnie de Redmond n'a aucune rustine de prévue pour corriger cette vulnérabilité.

Plus de renseignements
http://support.microsoft.com/kb/240797

Alerte de 2003
http://lists.grok.org.uk/pipermail/full-disclosure/2003-June/005321.html

Source: Zataz

Suite:

Aucun correctif n'est disponible pour le moment. En attendant la publication d'un correctif officiel, outre la vigilance vis-à-vis des liens et fichiers HTML non sûrs, plus particulièrement ceux requérant une interaction de type glisser-déposer avec la souris (barre de défilement, jeu, panier de commande interactif, etc.), les utilisateurs concernés peuvent désactiver l'option "Active scripting" des zones de sécurité "Internet" d'Internet Explorer (en ajoutant si nécessaire les sites sûrs habituellement consultés dans la zone "Sites de confiance" afin d'éviter que la désactivation de cette option ne perturbe leur ergonomie) ou encore utiliser un autre navigateur web.

Source: Secuser