Contrôles ActiveX : 4 ans de patches et toujours vulnérables

Le par  |  62 commentaire(s)
internet explorer IE logo

Le fait est que ce genre de contrôles, qui furent utilisés dès Internet Explorer 5.

Internet explorer ie logoLe fait est que ce genre de contrôles, qui furent utilisés dès Internet Explorer 5.0 et qui sont encore installés sur de nombreux systèmes, peuvent être - trop - facilement exploités pour prendre le contrôle de l'ordinateur à distance, ce qui fait souvent l'objet de débats passionnés entre les fervents utilisateurs d'Internet Explorer et ceux s'étant tournés vers Firefox ou Opera.

Au mois de juin, comme le précise eWeek, cependant, la firme de sécurité Xsec a découvert au moins un autre moyen d'exploiter ces ActiveX. Le US Department of Homeland Security a également notifié cet exploit à la fin du mois d'août et ont publié un bulletin la semaine dernière. Ce dernier présente cette faille comme modérée et fonctionnant sous IE SP1.

La faille découverte par Xsec est étrangement " simple ". Du code JavaScript non vérifié, tournant sur une version chinoise de Windows Server 2003, peut être utilisée pour le contrôle ActiveX DirectAnimation Path de Microsoft. Le code original, publié par SecurityFocus, entraîne alors de l'écriture de mémoire invalide, une potentielle attaque par Deni de Service voire de l'exécution de code arbitraire.

SecurityFocus a catalogué cet exploit sous le nom Bugtraq ID 19738, et mentionne qu'aucun patch n'est disponible pour résoudre ce problème. Internet Security Systems classe cet exploit en " hautement critique ", partant du principe qu'aucun remède n'est connu pour corriger cette brèche.

Bien que plus de failles cette année dans les produits Microsoft aient été des exploits 0-day par rapport à l'année dernière, que ce soit pour une raison ou une autre, le problème pour la firme de Redmond, ce n'est pas que des personnes malveillantes puissent exploiter ces failles. Le vrai problème viendrait en effet du fait que les firmes de sécurité continuent de trouver des vulnérabilités et des exploits quatre ans après avoir découvert les problèmes inhérents aux ActiveX. Alors, est-ce encore la technologie de l'avenir '
Complément d'information

Vos commentaires Page 1 / 7

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #130364
Je sais pas pourquoi ... mais je sent que ce fil va partir en ode à jvachez !


Le #130365
Ah, encore un sujet qui va nous valoir débat très constructif. Un, deux, trois, trollez....
Le #130367
panurge>J'ai un peu pensé à lui en effet.
Le #130368
jvachez president!
Le #130371
etes vous aller sur le site de jvachez avec la derniere version de IE 7 RC1 en fr '
trop drole !
je vous conseille !

http://jvachez.free.fr/
Le #130373
Moi je vote pour une grosse supercherie !
Sincèrement qui arrive à croire qu'un mec idolâtre MS à ce point '

Pour moi, il fait parti des personnages de fictions, une sorte de Pied Nickelés du web créé de toute pièce par un humoriste de talent, poussant l'absurde dans ses retranchements !
Le #130374
je pensais la meme chose que vous, pauvre jvachier
Le #130375
panurge : merdre, tu m'as grillé. A propos, il vient quand Linkou sur le fil '
Le #130377
Comme quoi, on peut pousser le talent artistique vraiment très loin.
Bon, moi je retourne vers Godefroy de Montmirail.

jvachez, j'attends avec impatience tes réactions toujours aussi pertinantes

Le #130381
Ce n'est pas si vulnérable que çà.

Cryptocx Composant ActiveX est utilisé par de nombreuses banques dont VISA.

VISA c'est des millions de cartes bancaires et des milliards de $ de transactions chaque jour.

Si les ActiveX n'avaient pas été fiables il y a longtemps que les cartes VISA n'existeraient plus.
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]