Exploit Zero day et faille extrêmement critique dans Windows
Surfez avec une boule de cristal
Un nouvel exploit « zero day » a été découvert sur la plupart des versions de Windows (2000, server 2003, XP sous leurs diverses variantes). Elle exploite une nouvelle vulnérabilité dans le XML Core Services 4.0 de Microsoft, service qui est utilisé dans Jscript, VBScrit et VisualStudio 6.0. Les détails sont volontairement vagues, on sait simplement que la faille concerne une erreur dans le contrôle ActiveX XMLHTTP 4.0. Elle permet par exemple via Internet Explorer 6 ou 7 de faire exécuter du code arbitraire sur la machine de l’utilisateur à la simple visite d’un site piégé. À ce titre, le site spécialisé dans la sécurité informatique Sécunia souligne que « cette vulnérabilité est déjà activement exploitée ».
Microsoft indique simplement que l’enquête se poursuit sur ce problème et qu’une mise à jour sera disponible à terme, soit dans le train de mise à jour soit hors de ce cycle si bien huilé. « Tout dépendra des besoins des consommateurs ». La faille a cependant été jugée extrêmement critique par Secunia. Microsoft indique ainsi que l’attaquant peut avoir les mêmes droits que l’utilisateur. L’éditeur recommande avant tout de ne pas cliquer sur les liens de sources douteuses, intégrés dans les mails... Du côté du CERT, il est recommandé de désactiver les contrôles ActiveX dans les zones de sécurité du navigateur ou bien, pour les plus expérimentés, de désactiver l’objet XMLHTTP 4.0 dans IE.
Microsoft indique simplement que l’enquête se poursuit sur ce problème et qu’une mise à jour sera disponible à terme, soit dans le train de mise à jour soit hors de ce cycle si bien huilé. « Tout dépendra des besoins des consommateurs ». La faille a cependant été jugée extrêmement critique par Secunia. Microsoft indique ainsi que l’attaquant peut avoir les mêmes droits que l’utilisateur. L’éditeur recommande avant tout de ne pas cliquer sur les liens de sources douteuses, intégrés dans les mails... Du côté du CERT, il est recommandé de désactiver les contrôles ActiveX dans les zones de sécurité du navigateur ou bien, pour les plus expérimentés, de désactiver l’objet XMLHTTP 4.0 dans IE.
Marc Rees
le 6 novembre 2006 à 12:01
(27 589
lectures)
Actualités et brèves relatives
- 02 / 11 / 2006 : Seconde faille de sécurité DoS pour Firefox 2.0
- 28 / 10 / 2006 : Microsoft confirme la première faille d'Internet Explorer 7
- 20 / 09 / 2006 : Nouvelle faille extrêmement critique dans Internet Explorer
- 15 / 09 / 2006 : Faille extrêmement critique pour Internet Explorer
- 06 / 09 / 2006 : Word 2000, vulnérable et victime d'un exploit zero-day
- 17 / 07 / 2006 : Powerpoint : vulnérabilité critique et exploit zero-day
- 20 / 02 / 2006 : 10 000 dollars par faille critique découverte dans Windows
- 28 / 12 / 2005 : Une nouvelle faille dans Windows XP déjà exploitée
