Acer : une faille ActiveX présente sur le système d'origine

Le par  |  21 commentaire(s) Source : Vuln.sg
internet explorer IE logo

Un PC, c'est un peu comme un grenier.

Un PC, c'est un peu comme un grenier. Parfois il y a tellement de choses dedans qu'on ne sait même plus ce qui se trouve dedans.


"Encore une faille" vous est présenté par ActiveX
ActiveX est un composant logiciel crée par Microsoft pour faciliter la communication entre les différents programmes du système.

Internet explorer ie logoS'il permet de programmer facilement de nombreux programmes accédants au système, comme un antivirus en ligne par exemple, il également été décrié pour la très grande faiblesse de sa sécurité. C'est par exemple ActiveX qui est utilisé pour l'installation sur votre système de la majorité des spywares, ces logiciels espions qui vont transformer votre PC en une sorte de "zombie", fonctionnant au ralenti, affichant des publicités à n'en plus finir, et faisant fonctionner en arrière-plan des programmes à l'utilité fort douteuse.

C'est pourquoi le seul navigateur qui l'implémente est Internet Explorer, les autres ayant refusé de l'intégrer, au risque de poser des problèmes de compatibilité avec certains sites internet.


Chef, je crois qu'on en a oublié un !
Alors qu'il explorait tranquillement le contenu logiciel de son ordinateur, Tan Chew Keong, c'est son nom, découvrit un contrôle ActiveX répondant au doux nom de LunchApp.Aplunch, et datant de 1998.

Acer logo smallCe contrôle ActiveX, édité par Acer, avait été installé par les logiciels Acer présents sur l'ordinateur à l'installation. Petite surprise, ce contrôle était indiqué comme "sûr pour le scripting" et "sûr pour la lecture des données se trouvant sur l'ordinateur". Parmi ses diverses fonctions, le contrôle possède une méthode (à peu près l'équivalent d'une fonction en langage objet) appelée "Run" prenant pour paramètres "Lecteur", "Nom de fichier" et "Ligne de commande" (drive, filename et cmdline en version originale).

Un petit essai avec un code tout simple, et voilà que Tan Chew Keong réalise que ce contrôle ActiveX permet très simplement d'exécuter depuis une page web n'importe quel programme ou commande sans le consentement de l'utilisateur, et ce, sur toutes les versions d'Internet Explorer jusqu'à la version 6 incluse (IE7 demande systématiquement à l'utilisateur son avis avant d'exécuter un contrôle ActiveX).

Une petite vérification rapide, et voilà que Tan Chew Keong découvre la présence de ce même contrôle ActiveX sur portable de la série Aspire 5600, plutôt récent.


Une faille qui mériterait d'être prise très au sérieux, faute de quoi de nombreux utilisateurs risquent d'être victimes d'attaques, Acer étant tout de même le troisième constructeur mondial de PC portable avec 11,8% de part de marché. En attendant, l'unique solution reste de désactiver le support d'ActiveX ou de changer de navigateur.


Complément d'information

Vos commentaires Page 1 / 3

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #149427
Pour ceux qui répondent aux critères de cette faille (système windows >d'origine< sur PC Acer), une petite démo sur http://blog.slasherfun.free.fr/faille_acer.htm . La page ne fait ici rien de méchant, juste ouvrir la calculatrice windows, comme dans l'exemple donné sur vuln.sg , mais elle pourrait faire tout ce qu'elle veut d'autre...
Le #149430
jvachez reprezent!
Le #149432
Et encore un truc en faveur des assembleurs plutôt que des "grandes" marques qui n'ont vraiment que le marketing pour eux....
Le #149436
Marche pas avec IE7
Le #149439
Je trouve bizare d'incriminer les activeX (de façon générale) systématiquement et faire croire que le problème vient de la technologie elle même.

Ca me fait le même effet que si je voyais :
"Encore une faille" vous est présenté par un executable" <img src="/img/emo/confused.gif" alt=":'" />
Le seul responsable c'est Acer et pas la technologie. Certe la technologie est un facteur agravant du fait qu'elle facilite l'accès au programme incriminé (en même temps c'est le but de la technologie elle même de rendre accecible une application/fonction à partir du navigateur entre autre) mais si on commence à en tenir compte...

Bien entendu, il falait préciser le pourquoi du comment et donc citer les activex mais pourquoi ne pas l'avoir fait comme pour les pdf et Firefox '
Le #149447
@Luchy : Parceque sinon tu critiques pas Ms et que c'est mal bien sûr. Pour être plus sérieux, je penses que pas un ne sait ce que c'est que la technologie ActiveX surtout, sinon il ne dirait pas autant de c...

Evidement ici la faute incombe à ACER et non MS. Mais bon, il faut voir aussi en combien de temps le système va se mettre à jour (probablement trés rapidement par les winupdate, 2heures peut êtres). Du coup, l'angle d'exposition est mince, on est plus en présence d'une proof of concept...

. Et si je prends mon DVD de Debian sarge, acheté il y a un an, je compterai certainement une chiée de failles non patchées, c'est donc pareil. Ha non, c'est pas ms, zut, pas cracher
Le #149449
J'ai un portable acer récent (aspire 5022 WLMi) et les scripts ne font rien, en gros ca ne marche pas. Les fichiers ne sont pas présent sur mon PC, et rien dans la base de registre.
Moi je pencherais pour un problème de revendeur à Singapour, on sait jamais sur quoi on peut tomber...
Le mien a été acheté en france sur un site.. euh.. je ferai pas de pub.
Le #149454
john777 >Il ne devrait pas y avoir de màj sur Windows Update étant donné que justement ça ne concerne pas Microsoft (il l'a fait qu'une seule fois pour un produit tiers à ma connaissanc (JAVA))

Par contre, j'invite toutes les personnes victimes de cette failles à faire un tour sur le site d'Acer et de télécherger les dernières versions de leur driver qui ne devraient pas tarder.
Le #149459
Tu as mal compris, la version 7 d'IE demande systématiquement à l'utilisateur la validation de l'activeX, ce qui résoud (en partie j'en conviens) le problème de sécurité en question. Et pour l'avoir, c'est bien les updates qu'il conviens de charger.
Le #149460
et tout le monde sait que le "beta utilisateur" d'IE 6 ou 7 est un cliqueur sachant cliquer, qui clique partout sans savoir sur quoi il clique ..................... et PAF le chien !
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]