Nouvelle faille ActiveX

Nouvelle faille ActiveX
Microsoft prévient que l’un des composants ActiveX de son navigateur est encore l’objet d’une attaque.
La société dit avoir reçu de nombreux avertissements qu’une faille dans le contrôle ActiveX du Snapshot Viewer (un plug-in de navigateur pour Microsoft Office Access 2000, 2002 et 2003) était massivement exploitée. Le contrôle vulnérable n’est pas présent dans Office Access 2007.
Lorsque la faille est exploitée, l’attaquant peut prendre le contrôle du système avec les droits de son propriétaire.
Internet Explorer est seul à utiliser des contrôles ActiveX et les autres navigateurs ne sont donc pas concernés.
Microsoft dit que les copies d’IE possédant la Configuration de sécurité avancée (Enhanced Security Configuration), comme celles de Windows Server 2003 et 2008, sont protégées.
La technologie ActiveX de Microsoft est une nouvelle fois dans la tourmente sécuritaire. Loi des séries aidant, l'US-CERT qui est un service du Département de la Sécurité Intérieure des Etats-Unis, fait l'apologie d'un palliatif pour le moins radical, puisqu'il s'agit de désactiver la prise en charge des contrôles ActiveX dans les navigateurs Web qui les supportent, Internet Explorer en premier lieu. Rappelons que les contrôles ActiveX permettent le dialogue entre programmes et qu'ils ne sont pas forcément destinés aux applications Web même si c'est à ce niveau qu'ils sont le plus fréquemment rencontrés.
La recommandation de l'US-CERT est principalement motivée par la divulgation d'une vulnérabilité (publication du code exploit) affectant le contrôle ActiveX ImageUploader d'Aurigama. Ce nom bien étrange n'est pas forcément très évocateur, pourtant ce contrôle ActiveX est utilisé par de multiples sites dont les très populaires sites de réseau social MySpace et Facebook, afin de permettre la mise en ligne d'images. Plusieurs problèmes de débordement de mémoire tampon via diverses méthodes mal gérées ( Action, ExtractExif, Extractlptc ) ont été identifiés dans cet ActiveX et ainsi, par le biais d'un document HTML spécialement conçu, un attaquant distant peut exécuter sur le système pris pour cible, du code arbitraire avec les privilèges de l'utilisateur. Plusieurs versions dudit ActiveX sont vulnérables.
Outre cette vulnérabilité d'importance car plaçant sous la menace d'une exploitation des millions d'utilisateurs, la mesure de contournement préconisée par l'US-CERT est confortée par l'existence de vulnérabilités similaires affectant le lecteur Yahoo! Music Jukebox. Ces failles sont en effet dues à des débordements de tampon, présents là encore au niveau de contrôles ActiveX ( DataGrid et MediaGrid ) avec les mêmes risques évoqués précédemment.
L'US-CERT explique comment, par l'intermédiaire de la base de registre Windows, désactiver les contrôles au cas par cas mais cette opération est plus l'affaire d'utilisateurs avancés. Pour le commun des utilisateurs, dans l'attente de correctifs, la recommandation de l'US-CERT revient donc à désactiver la prise en charge globale.
PC-NTIC
"Un consultant NTIC à vos côtés !"
Vous ne souhaitez plus bénéficier de ces informations ?
Indiquez-le simplement ici : webmaster@pc-ntic.fr