Vulnérabilité ActiveX ciblant une fonctionnalité Access

Le par  |  9 commentaire(s)
Windows XP patch pansement

Microsoft publie un avis de sécurité au sujet d'une vulnérabilité affectant le contrôle ActiveX lié à la fonctionnalité Snapshot Viewer de son SGBD Access.

Windows XP patch pansementMicrosoft a publié hier un avis de sécurité au sujet d'attaques exploitant une vulnérabilité dans le contrôle ActiveX pour Snapshot Viewer dans Access. Ce contrôle ActiveX dénommé snapview.ocx permet d'afficher un instantané d'état d'Access sans avoir les versions standard ou d'exécution de Microsoft Office Access. Il est livré avec toutes les versions d'Access à l'exception de la version 2007, ainsi qu'avec le viewer autonome.

L'exploitation de ladite vulnérabilité qui affecte le contrôle ActiveX du Snapshot Viewer pour Microsoft Office Access 2000, 2002 et 2003, peut permettre l'exécution de code à distance. Pour procéder, un attaquant envoie à sa victime un lien pointant vers une page Web spécialement conçue.

Microsoft précise que par défaut, Internet Explorer sous Windows Server 2003 et 2008 fonctionne dans un mode restreint, limitant ainsi l'accès de sites Web qui n'ont pas été ajoutés dans la zone de sites sûrs. Et de rappeler par ailleurs qu'une fonctionnalité de sécurité dans IE peut être réglée pour empêcher les contrôles ActiveX d'être chargés par le moteur de rendu HTML.

Cette vulnérabilité a notamment été référencée comme extrêmement critique par la société Secunia, soit le niveau de dangerosité le plus élevé. Microsoft devrait fournir un correctif de sécurité à l'issue de ses investigations.
Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #272871
Les active X c est bon et Firefox mauvais navigateur ne les gere toujours pas
Le #272921
@freeman

les controles ActiveX ne sont qu'une infrastructure de création et d'exploitation de plug ins commun à toutes les applications sous windows

firefox a aussi ses "controles activex" connus sous le nom d'extensions... et a son lot d'extensions qui ont des failles de sécurité (et qui ne se mettent pas à jour automatiquement via windows update, elles)

le fait que firefox ne gère pas une technologie qui est beaucoup utilisée en entreprise ne plaide pas en sa faveur (il pourrait proposer un support, meme s'il est desactivé par défaut)

bref, pour se proteger de la faille, il suffit de desactiver ce controle activex dans le gestionnaire de complément d'IE (ou mieux, de desinstaller access si on ne s'en sert pas... ce qui est souvent le cas)

ps: le mode protégé d'IE7 sous vista empeche que ce genre de faille soit exploitable pour installer un spyware
Le #272961

ps: le mode protégé d'IE7 sous vista empeche que ce genre de faille soit exploitable pour installer un spyware



Est-ce à prendre comme un demi aveu que les problèmes passés, actuels et futurs de la technologie ActiveX étaient pour part dans leur conception et leur implémentation dans IE ?

Doit-on se féliciter des mécanismes de sécurité de IE7 sous Vista ou être étonné de leur implémentation si tardive ?


Le #273291
KerTiaM >Pour toi, c'est quoi la différence entre un plug-in et un activeX au juste ?

Non parce que d'après ton raisonnement, le fait pour un navigateur de proposer un support de plug-ins est "un problème passé, actuel et futur de conception".

Quand il y a une faille avec Java/flash ou tout plug-in de ce type sous un autre navigateur, je te vois pas sortir ta rengaine...

A l'heure actuelle IE est le seul à proposer une couche de sécurité supplémentaire donc je ne le trouve pas si tardif que ça... (ou alors ils sont tous à la traine)

Il serait dans ton intérêt d'être un peu moins borné sur MS.
Le #273401

Non parce que d'après ton raisonnement, le fait pour un navigateur de proposer un support de plug-ins est "un problème passé, actuel et futur de conception".


Oui c'est un problème lorsque des mécanismes existent et ne sont pas retroporté sur des versions encore commercialisées.



Quand il y a une faille avec Java/flash ou tout plug-in de ce type sous un autre navigateur, je te vois pas sortir ta rengaine...


Non je suis le premier a critiquer les failles de flash et d'implémentation javascript dans Safari par exemple. Surtout Safari d'ailleurs.


Il serait dans ton intérêt d'être un peu moins borné sur MS.


Je suis critique, sceptique, méfiant et déçu. Pas borné, à chaque Windows je remet en cause mon jugement.
Le #274001
KerTiaM >Tu as pensé au fait que la virtualisation comme fonctionnalité était propre à Vista ?

"d'implémentation javascript dans Safari par exemple. Surtout Safari d'ailleurs."
Faire un navigateur sans javascript c'est comme retourner au web des années 90 pour ses utilisateurs... Adieux Gmail, Netvibes, smileys sous GNT etc...

"Je suis critique, sceptique, méfiant et déçu"
Admetons. Dans ce cas, beaucoups trop envers MS est absent chez les autres.
Le #274031
"Oui c'est un problème lorsque des mécanismes existent et ne sont pas retroporté sur des versions encore commercialisées. "

le mode protégé est une fonctionnalité du noyau de vista...
déjà que certains utilisateurs desactivent l'uac sous vista, microsoft ne va pas publier une maj du noyau de xp pour supporter l'uac

de plus la concurrence ne supporte toujours pas de technologie similaire au mode protégé d'ie7 sous vista... donc MS est en avance pour l'instant
Le #274821
@link83

tu ferais mieux de lire mes autres posts
Le #274871
"tu ferais mieux de lire mes autres posts "

tu as écrit des betises dans d'autres posts et tu en es fier?
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]