Comme Microsoft vient de l’annoncer dans KB2887505, le module mshtml.dll d’Internet Explorer à partir de la version 6 jusqu’à la version 11 incluse présente une grave faille de sécurité qui permet d’introduire un code malveillant via JavaScript. Comme cette faille est déjà activement exploitée, Microsoft met à disposition un hotfix CVE-2013-3893, qui ne fonctionne toutefois jusqu’à présent que dans Internet Explorer 8 ou 9. Les utilisateurs des autres versions doivent régler les paramètres de la zone Internet et de la zone Intranet locale sur « élevé » afin de bloquer les contrôles ActiveX et Active Scripting dans ces zones.
Microsoft Outlook, par exemple, qui utilise la technique IE pour l’affichage HTML, est également concerné par ce problème.
Mise à jour du 08.10.2013 : le correctif MS13-080 devrait permettre de résoudre le problème.
Source de l’image : Microsoft