Microsoft a reconnu le 14 septembre l’existence d’une nouvelle vulnérabilité qui affecte son navigateur Internet Explorer 6.x pour les plates-formes Windows (2000 SP4, XP SP1 et 2 etServer 2003). IE 5.01 pour Windows 2000 SP4 est également affecté.
Jugée critique par les experts en sécurité, cette faille est liée à une corruption de mémoire dans le contrôle ActiveX « Microsoft Multimedia Controls » (daxctle.ocx). L’exploitation de ce trou de sécurité permet à une personne mal intentionnée d’exécuter du code arbitraire sur une machine distante afin, notamment, d’en prendre le contrôle. Le pirate bénéficierait ainsi des mêmes droits d’administration que l’utilisateur local.
Selon l’avis de sécurité 925444 de Microsoft, l’attaquant doit cependant convaincre la victime potentielle de visiter une page Web réalisée spécialement pour exploiter la vulnérabilité. C’est aussi l’avis du spécialiste en sécurité Secunia. Microsoft a d’ailleurs reconnu la mise en ligne de la preuve de faisabilité, notamment publiée par le site Xsec.org. Mais l’éditeur dément toute exploitation réelle de la vulnérabilité à ce jour.
Pour le moment, il n’existe aucun correctif applicable. Microsoft prévoit de le réaliser dans le cadre du prochain bulletin de sécurité mensuel qui sera publié le mardi 10 octobre. En attendant, l’éditeur de Windows recommande de n’autoriser que les sites de confiance à exploiter les contrôle ActiveX. Bref, faites attention où vous surfez.
Microsoft lance Phi-3-mini, un petit modèle de langage (SLM) qui s'adresse aux entreprises ne disposant…
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…