Microsoft émet un bulletin d’alerte autour d’une faille ActiveX

Cloud
Information - news

Une vulnérabilité dans le shell Windows permettrait l’exécution de code
arbitraire à distance.

Microsoft a émis un bulletin de sécurité concernant une vulnérabilité affectant presque toutes les versions de Windows bénéficiant d’un support technique. Alors que la firme de Redmond se défend d’avoir connaissance d’un quelconque exploit actif, le bulletin de sécurité 926043 explique que la vulnérabilité affecte le contrôle ActiveX WebViewFolderIcon du shell Windows.

Selon Microsoft, la simple ouverture un fichier HTML malveillant pourrait suffire à exploiter cette vulnérabilité. Une fois l’exploit exécuté, un pirate peut exécuter à distance le code (programmes malveillants et logiciels espions) sur le PC affecté.

Un porte-parole de la firme a annoncé qu’un correctif sera mis en ligne lors de la prochaine série de mises à jour de Microsoft prévue le 10 octobre. En attendant que le correctif soit disponible, Microsoft recommande aux utilisateurs de recourir à des moyens alternatifs pour se protéger, notamment de configurer Internet Explorer de manière à demander l’autorisation avant d’exécuter le contrôle ActiveX. Les contrôles ActiveX étant couramment utilisés sur différents sites, l’utilisateur risque de voir s’ouvrir de nombreuses fenêtres.

L’US Computer Emergency Response Team conseille aux utilisateurs de ne pas cliquer sur des liens qui leur paraîtraient suspects. Le SANS internet Storm Center recommande quant à lui l’utilisation d’autres navigateurs Web tant que la vulnérabilité sur Internet Explorer n’aura pas été réparée.

Microsoft a précisé que cette vulnérabilité n’affectait pas les versions de Windows Server 2003 et de Windows Server 2003 Service Pack 1 avec la fonctionnalité ESC (Enhanced Security Configuration) activée.

Traduction d’un article de Vnunet.com en date du 2 octobre 2006