Retour en 1997, lorsqu' Internet Explorer 4 fut publié pour la première fois, le XML commençait tout juste à devenir populaire. La popularité du XML incita Microsoft à concevoir le premier prototype de balises XML, utilisant l'élément <script> en conjonction avec l'attribut "language" configuré en "XML".

Lorsqu' Internet Explorer 5 fut ensuite publié, <script> fut remplacée par une balise <xml> plus intuitive. Mais même si la syntaxe XML <script> n'était plus utilisée, Microsoft l'a gardé par mesure de précaution concernant la compatibilité. Par défaut <script> autorise uniquement les URLs provenant du même domaine que le document assigné à son attribut "src". Malheureusement, la validation d'un attribut "src" contre une redirection est inefficace, ce qui peut mener à l'exposition d'informations sensibles et privées appartenant à l'utilisateur. Microsoft fut informé le 18 février 2002 et un patch fut publié six mois après le 22 août 2002.

Mais, fait incroyable, Internet Explorer a connu une régression qui le rend de nouveau vulnérable à cette faille dangereuse. La régression a été testée sous plusieurs configurations et Internet Explorer 5 sous Windows NT, IE 5.5 sous Windows 98 et NT, et IE 6 sous Windows 2000 et XP se sont révélés vulnérables. Pour vous protéger, nous vous conseillons de déstactiver l'Active scripting.

Source : ECHU.ORG

Voir les posts : Par défaut Tous Les bonnes notes Les notes insuffisantes