ActiveX : utilisation d'Internet Explorer 6 plus risquée

Alors que Microsoft livrait son Patch Tuesday du mois de juillet, le leader mondial du logiciel communiquait presque au même moment sur une vulnérabilité ActiveX affectant le contrôle Snapshot Viewer qui permet de visualiser un rapport Access sans le lancement du SGDB. Une vulnérabilité de sécurité qualifiée extrêmement critique par la société danoise Secunia, soit l'indice maximal sur son échelle de dangerosité. A l'approche du prochain mardi sécuritaire du 12 août, cette vulnérabilité n'est toujours pas comblée et Symantec s'en inquiète, surtout pour les utilisateurs d'Internet Explorer 6.

Cette vulnérabilité est en effet activement exploitée via des pages Web spécialement conçues ou corrompues pour héberger le code d'attaque. Les utilisateurs pris pour cibles sont majoritairement attirés vers ces pages à l'aide de spam. Preuve de l'intérêt manifeste des cybercriminels pour cette faille, Symantec rapporte son intégration dans NeoSploit, un toolkit qui permet l'exécution d'une panoplie d'exploits afin de déterminer si une machine est vulnérable. Après avoir atteint 3 000 dollars, NeoSplit a été retiré de la vente la semaine dernière par les cybercriminels.


IE6 n'incite pas à la vigilance ActiveX
Avant le téléchargement d'un contrôle ActiveX pour la première fois, Internet Explorer 7 avertit l'utilisateur. Une opération qu'omet son prédécesseur Internet Explorer 6 en téléchargeant automatiquement le contrôle car signé numériquement par Microsoft. Or, une fois le contrôle ActiveX téléchargé, ladite faille non corrigée peut être exploitée pour une prise de contrôle à distance de la machine.

En attendant un correctif, Symantec conseille aux administrateurs d'empêcher l'exécution d'un contrôle ActiveX dans Internet Explorer. Ceci est possible en modifiant la valeur DWORD Compatibility Flags pour l'identificateur de classe (CLSID) du contrôle ActiveX concerné.