Au coeur de la torpeur estivale, personne n'entend les navigateurs crier. Et pourtant, ils sont bien malmenés en ce mois de juillet. Firefox, d'abord, qui non content de se semer le doute avec deux annonces de failles quasi-simultanées (un vrai zero-day et une ancienne vulnérabilité Flash), remet ça avec un vrai-faux souci qui n'en serait, finalement, pas un. La solitude du veilleur d'été...

Internet Explorer, en revanche, serait lui bel et bien troué, enfin, pas vraiment lui, mais presque. C'est décidément l'été de l'indécision !

Explication : une vulnérabilité dans le contrôle ActiveX Spreadsheet de la librairie Office Web Components serait exploitable à distance via le navigateur, à la visite d'une page piégée. On notera la subtile distinction faite par Microsoft à l'occasion d'une interview : "Internet Explorer n'est pas vulnérable mais le système peut effectivement être compromis à distance en utilisant IE". Et ce n'est pas faux : le souci vient en réalité d'Office (avant la version 2007). Pas d'Office, pas de souci. Sinon, attention où vous surfez. A défaut d'un correctif, Microsoft propose pour l'instant de désactiver le composant concerné (automatiquement en visitant une page dédiée depuis le navigateur).

Peut-être pour ne pas être en reste, Google Chrome se voit corrigé de deux vulnérabilités, dont l'une critique. Mais après tout, on le lui pardonne car il s'agit encore d'une bêta. Et personne chez vous n'utilise de navigateur en bêta. Non ?

Enfin, une dernière vulnérabilité vient mettre tout le monde d'accord : le décidément très prolifique Thierry Zoller publie une découverte sur ECMAScript, le standard du scripting sur le web (JavaScript, ActionScript et JScript par exemple). Il ne s'agit certes que d'un déni de service, mais on peut sans crainte lui concéder le titre de DoS universel dans le domaine ("IE5,IE6,IE7,IE8,Netscape,Firefox,Safari,Opera,Konqueror,
Seamonkey,Wii,PS3,iPhone,iPod,Nokia,Siemens.... and more", annonce Zoller).

Toujours au sujet des navigateurs, une piste d'attaque à garder sur le radar, pour les puristes : le vol des jetons utilisés dans le cadre d'une protection contre les cross-site request forgery (CSRF), par Inferno et RSnake. Quelques détails ici.