ActiveX : utilisation d'Internet Explorer 6 plus risquée

Le par  |  43 commentaire(s) Source : InfoWorld
Internet Explorer - IE - logo

Une faille non corrigée dans l'écosystème logiciel de Microsoft rend les utilisateurs d'IE6 plus vulnérables que leurs homologues sous IE7.

Internet Explorer   IE   logoAlors que Microsoft livrait son Patch Tuesday du mois de juillet, le leader mondial du logiciel communiquait presque au même moment sur une vulnérabilité ActiveX affectant le contrôle Snapshot Viewer qui permet de visualiser un rapport Access sans le lancement du SGDB. Une vulnérabilité de sécurité qualifiée extrêmement critique par la société danoise Secunia, soit l'indice maximal sur son échelle de dangerosité. A l'approche du prochain mardi sécuritaire du 12 août, cette vulnérabilité n'est toujours pas comblée et Symantec s'en inquiète, surtout pour les utilisateurs d'Internet Explorer 6.

Cette vulnérabilité est en effet activement exploitée via des pages Web spécialement conçues ou corrompues pour héberger le code d'attaque. Les utilisateurs pris pour cibles sont majoritairement attirés vers ces pages à l'aide de spam. Preuve de l'intérêt manifeste des cybercriminels pour cette faille, Symantec rapporte son intégration dans NeoSploit, un toolkit qui permet l'exécution d'une panoplie d'exploits afin de déterminer si une machine est vulnérable. Après avoir atteint 3 000 dollars, NeoSplit a été retiré de la vente la semaine dernière par les cybercriminels.


IE6 n'incite pas à la vigilance ActiveX
Avant le téléchargement d'un contrôle ActiveX pour la première fois, Internet Explorer 7 avertit l'utilisateur. Une opération qu'omet son prédécesseur Internet Explorer 6 en téléchargeant automatiquement le contrôle car signé numériquement par Microsoft. Or, une fois le contrôle ActiveX téléchargé, ladite faille non corrigée peut être exploitée pour une prise de contrôle à distance de la machine.

En attendant un correctif, Symantec conseille aux administrateurs d'empêcher l'exécution d'un contrôle ActiveX dans Internet Explorer. Ceci est possible en modifiant la valeur DWORD Compatibility Flags pour l'identificateur de classe (CLSID) du contrôle ActiveX concerné.
Complément d'information
  • IE : blocage des contrôles ActiveX obsolètes
    Une mise à jour d'Internet Explorer va permettre de bloquer les contrôles ActiveX qui ne sont pas à jour et alerter l'utilisateur. Cela concernera dans un premier temps les versions de Java périmées.
  • MSFT va corriger mardi les failles ActiveX et DirectShow
    Pour son Patch Tuesday du mois de juillet 2009, Microsoft prévoit la publication de six bulletins de sécurité dont trois critiques. Actuellement exploitées, les vulnérabilités ActiveX et DirectShow seront corrigées.

Vos commentaires Page 1 / 5

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #290991
Pour éviter tout risque il y a 2 possibilités :
- Arrêter d'être con
- Arrêter d'être ignorant
- Installer IE7, voir 8beta

En passant dans un des 2 premiers cas on passe systématiquement dans l'autre, fabuleux non ?
Par contre si on passe uniquement dans le cas 3 on n'évite pas les 2 premiers...
Le #291161
@CodeKiller : "Arrêter d'être con"

Mépriser les utilisateurs c'est la facilité.
Le #291281
Mais que va dire jvachez ?
Le #291291
@CodeKiller
D'apres la news, l'utilisateur n'a meme pas a accepter l'activeX, il est installé et executé automatiquement

Donc pas besoin d'etre ignorant pour se faire véroler

M'enfin bon, ya une autre option a rajouter a ta liste: passer a firefox et linux...
Le #291301
@codekiller : excuse moi mais installer IE8Beta pour un parc informatique est bien la chose a éviter... +1IE7 par contre.
Le #291311
@W0lf : Tu as raison. Il faut éradiquer IE6 de la surface du globe. Sus au génocide d'IE !
Le #291331
Il y a longtemps que plusieurs entreprises n'utilisent plus par précaution les activeX.
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]