Nouvelles du front non officiel d'I.E.
Ca bruisse du côté de la faille CreateTextRange(). Surtout depuis que Marc Maiffret d'eEye a décidé de fournir « son » correctif en insistant bien sur l'aspect temporaire du remède. Il faut avouer que le couplet de Maiffret sur la « pression de la demande populaire » est un petit modèle du genre. Mais l'équipe d'eEye a-t-elle bien mesuré les conséquences de son acte ? Certes, une telle opération va sans le moindre doute exciter la plume de beaucoup de nos confrères. Voir en cette rustine la preuve de l'immobilisme microsoftien, voilà qui va renforcer l'ego de certains radicaux. Mais que le phénomène se répande, et l'on risque de voir fleurir des « rustines marketing » et des « correctifs de propagande » édités par une foultitude de prétendus experts. Aux yeux du grand public, il sera vite impossible de faire la différence entre le savoir de Pierre, l'expérience de Paul ou la légitimité de Jacques. Le premier « patch » médiatisé sera le bienvenu, avec le risque évident de voir se glisser de pseudo-rustines prétendument conçues par des personnes ayant pignon sur rue. On a vu des opérations de phishing utiliser avec succès des arguments bien plus minces que çà. Toute aussi intéressante, cette autre information, aussi peu « officielle » que la précédente, concernant une signature pour Metasploit développée par des hackers indépendants. Encore plus passionnante, ce bref et officiel instant d'inquiétude du CertA français (Cert Administration) qui recommande la migration vers Firefox. Zut, un bug ? Chic, un déploiement ! Le Sans Institute et le FBI avaient, à une époque, émis des conseils semblables, avant de se rétracter. Il faut dire que le rôle d'une administration américaine n'est pas de dénigrer le fruit du travail d'un de ses plus gros contribuables. En cas de franche panique, et avant d'envisager une éradication (complexe... le CertA n'indique pas comment opérer une InternetExplorerectomie du noyau XP) suivi d'un déploiement, il reste toujours possible de désactiver l'active scripting. Depuis que les alertes I.E. tombent comme à Gravelotte, cette opération doit être quasi instinctive chez les Windowisés de longue date. Pour mémoire, signalons que la procédure est détaillée sur le blog de F-Secure.