Quatre failles de sécurité viennent d’être corrigées dans Internet Explorer.

Trois de ces failles permettent à un site malicieux d’offusquer sa véritable URL (Address Bar Spoofing) en laissant croire à l’utilisateur qu’il navigue sur un autre site. Cette faille est exploitable en appelant la fonction Javascript "document.open" avant la fonction "onBeforeUnload".

Microsoft corrige également un ActiveX (non précisé) qui pourrait être appelé par une page web pour manipuler, à son insue, des fichiers sur le poste de la victime.

Les failles de Spoofing d’URL sont publiquement connues depuis Février 2007 et sont utilisées par des attaques de Phishing.

Notons que plusieurs regressions sont déjà connues et documentées par Microsoft, avec notamenent des crashs d’Internet Explorer sur Windows XP SP2 (incomptabilité avec MS07-033 et MS07-045) ou l’apparition du message "Webpage cannot be displayed" avec Internet Explorer 7.

Ce correctif corrige également des problèmes non liés à la sécurité : meilleure gestion des balises TBODY, THEAD, TFOOT et amélioration de la gestion des ActiveX et des accès FTP avec Internet Explorer 7.