Un bogue critique dans le navigateur de Internet Explorer affecte aussi les utilisateurs d'Outlook 2003.
C’est la société Sunbelt Software qui annonce la nouvelle. La vulnérabilité est déclenchée dans Internet Explorer ou Outlook 2003, quand le processus graphique agit dans le VML (Vector Markup Language).
Aucune attaque n’a cependant encore été détectée dans Outlook 2003, mais une poignée de sites Web diffusent maintenant le code, et des pirates ont publiquement signalé un logiciel qui exploite la vulnérabilité.
Au départ, seul Internet Explorer était concerné, mais les chercheurs de Sunbelt ont conclu que les utilisateurs d’Outlook étaient également en danger.
Si la vulnérabilité est maintenant accessible à tous, c'est en parti parce que des chercheurs ont découvert une manière d'exécuter le code malveillant sans employer le code scripting, qui serait normalement bloqué par Outlook. En incluant un programme de langage machine de «shellcode» dans les étiquettes de VML, les chercheurs ont été capables d’utiliser le logiciel non autorisé sur des systèmes ayant la dernière version d'Outlook 2003.
Ceci a soulevé des inquiétudes parce que cela signifie que beaucoup d’utilisateurs sont en danger.
Pour IE, il suffit de faire passer l’utilisateur par un site détourné. La chose est encore plus simple pour Outlook : il suffit d’envoyer un mail en HTML pour menacer le client.
Microsoft est déjà en train de chercher une solution et un patch sera distribué dans le prochain bulletin de sécurité mensuel.