La firme de Redmond vient de publier un avis de sécurité dans lequel elle indique mener actuellement des investigations au sujet d'une vulnérabilité ActiveX pouvant conduire à une exécution de code à distance. Une vulnérabilité rapportée de manière privée à Microsoft qui a toutefois connaissance de tentatives d'exploitation.
Cette vulnérabilité concerne les utilisateurs Windows XP et Windows Server 2003 pour un problème de débordement dans le contrôle ActiveX utilisé pour le streaming vidéo msvidctl.dll. Une exploitation permet l'exécution de code arbitraire lors de la visite d'un site Web malveillant via le navigateur Internet Explorer.
À noter toutefois que Symantec qui parle d'une vulnérabilité non corrigée massivement exploitée via Internet Explorer, et ce principalement en Chine et dans d'autres régions de l'Asie pour l'heure, précise que seuls les utilisateurs surfant sur la Toile avec IE6 et 7 sont en danger, tandis que ceux qui ont recours à IE8 ne sont pas vulnérables. L'éditeur indique également que l'exploit utilise un fichier JavaScript spécialement conçu pour tirer parti d'une vulnérabilité dans l'objet IMPEG2TuneRequest qui est utilisé par la DLL msvidctl.dll de Microsoft DirectShow.
Pour cette vulnérabilité qualifiée d'extrêmement critique par Secunia, Microsoft recommande de supprimer le support dudit contrôle ActiveX avec Internet Explorer, et donne dans son avis de sécurité la liste des identificateurs de classe concernés. Par mesure de précaution, la même recommandation est donnée pour les utilisateurs Windows Vista et Windows Server 2008.
