Edition du 24/04/2003 - par Marc Olanié

Deux rustines cumulatives viennent d'être émises par Microsoft, l'une concernant l'UA de messagerie Outlook Express, l'autre le navigateur Internet Explorer. Les deux correctifs concernent des trous de sécurité jugés critiques par l'éditeur. La faille OE -5.5 et 6.0- concerne une possibilité d'interprétation locale de script par le mécanisme Mime-HTML, et est décrite dans le bulletin 03-14. Pour ce qui concerne IE, les problèmes sont plus nombreux : une saturation de tampon dans la DLL Urlmon, une inconsistance dans le contrôle de téléchargement sous IE, un manque de sécurité lors de l'interprétation de fichiers « tierce partie » et un défaut dans la gestion des dialogues modaux (pouvant donner accès à distance aux fichiers stockés sur la machine victime). Pour faire bonne mesure, le « cumulatif » revient sur le problème du Kill bit ActiveX, déjà connu. L'ensemble de ces tracas est décrit dans le bulletin 03-015.