Une nouvelle vulnérabilité critique vient d'être portée à la connaissance de Microsoft. Elle concerne cette fois le navigateur maison Internet Explorer. Et le bug concerne spécifiquement la manipulation d'un fichier DLL en tant que contrôleur ActiveX. Lors de son initialisation, il peut offrir la possibilité d'une attaque à distance du PC faillible. On évoque plus spécialement la faculté d'exécuter des commandes arbitraires avec les privilèges de l'utilisateur connecté. Selon les informations communiquées par la French Security Incident Response Team qui a révélée l'information, la DLL en question serait le fichier MSDDS.DLL (Microsoft Design Tools Diagram Surface). Cette DLL est installée avec plusieurs applications usuelles, dont certaines issues de Microsoft Office ou de Microsoft Visual Studio. Fort heureusement, la DLL en question n'est pas installée par défaut et seule, semblerait-il, la version 7.0.9064.9112 (ouf!) est affectée.

La vulnérabilité en question concerne, et c'est confirmé, Windows XP SP2 et Internet Explorer 6 et Office 2002 notamment. D'autres combinaisons logicielles pourraient être affectées.

Microsoft a tout juste été alerté de ce bug. "Nous n'avons pas été informé d'éventuelles attaques qui se baseraient sur cette vulnérabilité à l'heure actuelle" précise l'éditeur dans un communiqué publié pour l'occasion. Jusqu'à quand ? Un "exploit" ou PoC (proof of concept) vient d'être publié pour éprouver cette vulnérabilité.

Cette démonstration autorisera sans nul doute quiconque sachant manier cette langue, à faire une visite un peu plus profonde dans les méandres de ce trou. Au grand dam des usagers. Microsoft note bien que cette défaillance n'a "pas été révélée de façon responsable" et rappelle le conseil évident que "révéler une vulnérabilité directement à un professionnel sert au mieux les intérêts de tous". En attendant, on pourra désactiver les ActiveX ou bien utiliser en attendant un navigateur concurrent ne prenant pas en charge ces contrôles (Opera, Firefox). Pour d'autres informations sur cette faille, on pourra se plonger sur la page dédiée du SANS-INternet Storm Center.