Lire la suite sur GNTLa vulnérabilité de sécurité MHTML de Windows divulguée publiquement en janvier est exploitée via Internet Explorer et cible des utilisateurs Google qui évoque des motivations politiques.
La correction de cette fameuse vulnérabilité a été " oubliée " lors du dernier Patch Tuesday et Microsoft rapporte désormais des attaques ciblées et limitées. Divulguée publiquement en janvier 2011, ladite faille de script affecte toutes les versions de Windows. Elle est liée à un problème au niveau du traitement par MHTML de requêtes MIME formatées pour des blocs de contenu dans un document.
MIME Encapsulation of Aggregate HTML est un protocole de page Web qui rassemble les ressources de plusieurs formats en un seul fichier. Du côté des navigateurs, seuls Internet Explorer et Opera le supportent nativement ( via une extension pour Firefox ). IE est connu pour être un vecteur d'exploitation de la vulnérabilité qui réside dans un composant de Windows.
Google collabore avec Microsoft et recommande aux utilisateurs d'IE - en attendant un correctif en bonne et due forme - d'appliquer la solution radicale de la firme de Remond : un Fix it désactive la prise en charge du protocole MHTML :
Avis de sécurité Microsoft : Une vulnérabilité de MHTML peut permettre la divulgation d'informations
@+