Faille contrôle Active X

Le par  |  0 commentaire(s)

Windows est livré avec un contrôle ActiveX "Certificate Enrollment Control" permettant la soumission de demandes de certificats numériques pour le Web, puis leur stockage sur le poste de l'utilisateur concerné.

Windows est livré avec un contrôle ActiveX "Certificate Enrollment Control" permettant la soumission de demandes de certificats numériques pour le Web, puis leur stockage sur le poste de l'utilisateur concerné.

Ce contrôle contient une faille de sécurité qui peut permettre à une page Web de l'invoquer d'une manière telle qu'elle détruirait l'ensemble des certificats numériques stockés sur le poste de l'utilisateur concerné. Un agresseur pourrait ainsi corrompre les certificats principaux (Root certificate), les certificats d'encryptage EFS, les certificats d'authentification de signatures, et empêcher leur utilisation.

Ce type d'attaque peut être monté à partir d'un serveur Web utilisant cette vulnérabilité à l'encontre de ses visiteurs, ou via l'envoi d'Emails HTML.

Un patch est disponible sur le site Microsoft pour toutes les versions de Windows concernées :

- Windows 98
- Windows 98 Second Edition
- Windows Millennium
- Windows NT 4.0
- Windows 2000
- Windows XP

Informations détaillées (en anglais) et téléchargement du patch

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]