Microsoft et l'ActiveX : la série noire continue
Publiée par Julien le Vendredi 15 Septembre 2006Brève Sécurité
La fameuse, ou funeste (au choix), technologie ActiveX de Microsoft continue de faire couler de l'encre. Introduite dans le navigateur vedette de la firme, j'ai nommé Internet Explorer, la technologie ActiveX s'est avérée au fil des années être un véritable vecteur d'infections sans même parler des failles de sécurité que Microsoft continue de corriger plus de quatre ans après. Aux dernières nouvelles, Microsoft étudierait actuellement des rapports sur une nouvelle vulnérabilité d'Internet Explorer, liée à la gestion des ActiveX, sous Windows 2000 service Pack 4 et Windows XP Service Pack 1 & 2. Le problème viendrait cette fois-ci du contrôle Microsoft DirectAnimation qui via un simple code JavaScript peut entraîner une écriture mémoire invalide avec pour effet la possibilité de générer une attaque de type DoS (Déni de service) ou encore d'exécuter arbitrairement du code.
Les équipes de Microsoft se penchent actuellement sur ce problème, et un correctif pourrait voir le jour très prochainement.
___________________________________________________
Failles informatiques : petite collection de gros problèmes et correctifs
Par Jean-Pierre Louvet - Futura-Sciences, le 16/09/2006 à 12h34
Il y a des périodes où les problèmes s'accumulent, même si l'expression "loi des séries" ne veut rien dire. C'est le cas ces jours-ci pour divers programmes bien connus, tous victimes de failles particulièrement critiques
Tout d'abord, non encore corrigé : un zero day exploit concernant Internet Explorer. D'après FrSIRT : "Une code d'exploitation de type zero-day ciblant une vulnérabilité identifiée dans Microsoft Internet Explorer a été publié. Il permet de prendre le contrôle d'une machine vulnérable via une page web contenant un objet ActiveX "DirectAnimation.PathControl" (daxctle.ocx) spécialement conçu". Cette faille est considérée comme critique.
Alerte également critique pour Macromedia Flash Player qui ne comporte pas moins de trois failles. En gros le problème concerne les versions antérieures à la version 9.0.16.0. Il est donc urgent de charger la dernière version si vous n'êtes pas à jour. Rappelons que la version de ce plugin est différente pour Internet Explorer et pour les autres navigateurs, puisque la version Internet Explorer est un ActiveX. À notre expérience il convient de désinstaller le plugin pour Internet Explorer avant de charger la nouvelle version sinon on reçoit une réponse disant que l'installation s'est correctement effectuée, mais si on regarde bien, le numéro de version indiqué est l'ancien. Si Internet Explorer refuse d'installer l'ActiveX, il faudra baisser temporairement le niveau de sécurité de l'explorateur.
QuickTime n'est pas en reste, lui non plus, et présente plusieurs vulnérabilités critiques dans les versions antérieures à 7.1.3. Divers types de fichiers lisibles par QuickTime peuvent être piégés par un code spécialement mal formé. Là encore une mise à jour est indispensable.
Mozilla propose des mises à jour de Firefox et de Thunderbird (nouvelle version 1.5.0.7) pour corriger des failles importantes affectant aussi bien le navigateur que le lecteur de courrier. Ces failles sont qualifiées de critiques, mais les utilisateurs sont normalement avertis automatiquement. Dans le doute, vérifiez bien le numéro de votre version.
Enfin cette énumération ne serait pas complète si elle ne signalait pas une vulnérabilité dans Publisher, le programme de mise en page de Microsoft, qui peut être exploitée tout simplement en chargeant un document .pub piégé. Un correctif est disponible.
Enfin, pour terminer, Microsoft signale une vulnérabilité de type zero-day dans Microsoft Word 2000. Cette faille est actuellement exploitée par le Trojan Mdropper.Q. Il n'y a pas de correctif à ce jour, et Microsoft conseille, en attendant, de lire les documents .doc d'origine externe avec Word Viewer 2003.