Une faille ActiveX critique met Internet Explorer sous pression
Vidéo gag
Microsoft vient d’alerter via sa base de connaissance de la découverte d’une nouvelle vulnérabilité dans le Contrôle ActiveX dédié à la vidéo, et abrité sous le fichier msvidctl.dll. Ce contrôle assure la connexion des filtres de Microsoft DirectShow dans la capture, l’enregistrement ou la simple lecture de vidéo. C’est le composant principal qu’utilise Windows Media Center notamment dans l’enregistrement ou la lecture de vidéo depuis un signal TV.
La faille affecte Windows XP et Windows Server 2003 et permet à une personne distante de prendre le contrôle de la machine faillible avec les droits de l’utilisateur local, même par le biais d’une simple publicité... Microsoft indique d'ailleurs que des tentatives d’exploitation de cette vulnérabilité lui ont déjà été rapportées pour cette attaque qui utilise comme rampe de lancement Internet Explorer. Et pas qu’un peu : selon l’agence AP, on apprend que des milliers de sites ont été pris pour cible pour tirer partie de la vulnérabilité. Epaulée par une campagne de spam, l’exploitation ne s’en trouve que facilitée si IE est votre navigateur par défaut.
« Si un utilisateur est "logué" avec les droits d’administrateur, l’attaquant pourrait prendre le contrôle complet du système affecté. Cet attaquant peut installer des logiciels, voir, changer ou effacer des données ou créer de nouveaux comptes avec les pleins pouvoirs » explique Microsoft sur sa page dédiée.
La faille a été découverte par Yan Smith et Alex Wheeler de l’Hustle Labs pour ISS X-Force. En attendant un patch, lors de la prochaine fournée des mises à jour, Microsoft propose de colmater temporairement la faille en cliquant sur Fix It sous « Enable Workaround ». Cela lancera le téléchargement d’une rustine pour IE, qu’il conviendra d’exécuter une fois téléchargée. Cette rustine se contente de désactiver le contrôle. Une autre « rustine » sur la même page permet ainsi de le réactiver au besoin, en fonction des usages.
La faille affecte Windows XP et Windows Server 2003 et permet à une personne distante de prendre le contrôle de la machine faillible avec les droits de l’utilisateur local, même par le biais d’une simple publicité... Microsoft indique d'ailleurs que des tentatives d’exploitation de cette vulnérabilité lui ont déjà été rapportées pour cette attaque qui utilise comme rampe de lancement Internet Explorer. Et pas qu’un peu : selon l’agence AP, on apprend que des milliers de sites ont été pris pour cible pour tirer partie de la vulnérabilité. Epaulée par une campagne de spam, l’exploitation ne s’en trouve que facilitée si IE est votre navigateur par défaut.
« Si un utilisateur est "logué" avec les droits d’administrateur, l’attaquant pourrait prendre le contrôle complet du système affecté. Cet attaquant peut installer des logiciels, voir, changer ou effacer des données ou créer de nouveaux comptes avec les pleins pouvoirs » explique Microsoft sur sa page dédiée.
La faille a été découverte par Yan Smith et Alex Wheeler de l’Hustle Labs pour ISS X-Force. En attendant un patch, lors de la prochaine fournée des mises à jour, Microsoft propose de colmater temporairement la faille en cliquant sur Fix It sous « Enable Workaround ». Cela lancera le téléchargement d’une rustine pour IE, qu’il conviendra d’exécuter une fois téléchargée. Cette rustine se contente de désactiver le contrôle. Une autre « rustine » sur la même page permet ainsi de le réactiver au besoin, en fonction des usages.
Le 7 juillet 2009 à 09:58
(23 179
lectures)
Il y a 104 commentaires
INpactien
Capitaine dobbey
Le mardi 7 juillet 2009 à 10:03:14
#1
Inscrit
le samedi 9 septembre 06
-
1098
commentaires
INpactien
on se moque de ses petits camarades qui ont plus de mal que nous!
INpactien
Bouarf, IE quoi :p
INpactien
En gros, ce patch met sa rustine... mais il ne regonfle pas la chambre à air 
INpactien
Et dire qu'avec windows seven, on ne pourra plus profiter de toutes ces petites fonctionnalités par défaut.
Il y avait pas une pétition quelque part pour avoir des activex dans firefox ?
Il y avait pas une pétition quelque part pour avoir des activex dans firefox ?
Il n'est plus possible de commenter cette actualité
Vous devez être connecté ou vous inscrire en haut pour pouvoir participer aux commentaires.
Il y a 104 commentaires
-
![[MàJ] Quand Google cache des poneys dans...](data:image/gif;base64,R0lGODlhAQABAAAAACH5BAEKAAEALAAAAAABAAEAAAICTAEAOw==)
[MàJ] Quand Google cache des poneys dans Hangouts, mais pas que...
(17)
Poney, aime -
CUDA-Z : tout savoir de votre GPU NVIDIA sous Linux, OS X ou Windows
(7)
Et même quelques benchs -
CPU-Z 1.64 et HWMonitor 1.22 sont de sortie
(0)
Il faut dire qu'il fait soleil aujourd'hui -
Adobe Reader Touch pour Windows 8 peut enfin imprimer
(3)
Une meilleure version que la classique
![[MàJ] Quand Google cache des poneys dans...](http://static.pcinpact.com/images/bd/dedicated/79789.jpg)
-
Adhérents Fnac : tous les 100 € d'achat, 15 € en chèque-cadeau
Valable jusqu'au 23 mai -
Un portable tactile Lenovo Yoga 11 pour 361,58 €
Valable pendant 21 heures -
8 Go de DDR3 Kingston HyperX à 1600 MHz pour 49,99 €
Valable jusqu'au 27 mai -
Une tablette ASUS ME400C et un clavier Microsoft Wedge pour 399,90 €
Valable pendant 21 heures
