Windows XP patch pansement Microsoft a publié hier un avis de sécurité au sujet d'attaques exploitant une vulnérabilité dans le contrôle ActiveX pour Snapshot Viewer dans Access. Ce contrôle ActiveX dénommé snapview.ocx permet d'afficher un instantané d'état d'Access sans avoir les versions standard ou d'exécution de Microsoft Office Access. Il est livré avec toutes les versions d'Access à l'exception de la version 2007, ainsi qu'avec le viewer autonome.

L'exploitation de ladite vulnérabilité qui affecte le contrôle ActiveX du Snapshot Viewer pour Microsoft Office Access 2000, 2002 et 2003, peut permettre l'exécution de code à distance. Pour procéder, un attaquant envoie à sa victime un lien pointant vers une page Web spécialement conçue.

Microsoft précise que par défaut, Internet Explorer sous Windows Server 2003 et 2008 fonctionne dans un mode restreint, limitant ainsi l'accès de sites Web qui n'ont pas été ajoutés dans la zone de sites sûrs. Et de rappeler par ailleurs qu'une fonctionnalité de sécurité dans IE peut être réglée pour empêcher les contrôles ActiveX d'être chargés par le moteur de rendu HTML.

Cette vulnérabilité a notamment été référencée comme extrêmement critique par la société Secunia, soit le niveau de dangerosité le plus élevé. Microsoft devrait fournir un correctif de sécurité à l'issue de ses investigations.