Au mois de juin, comme le précise eWeek, cependant, la firme de sécurité Xsec a découvert au moins un autre moyen d'exploiter ces ActiveX. Le US Department of Homeland Security a également notifié cet exploit à la fin du mois d'août et ont publié un bulletin la semaine dernière. Ce dernier présente cette faille comme modérée et fonctionnant sous IE SP1.
La faille découverte par Xsec est étrangement " simple ". Du code JavaScript non vérifié, tournant sur une version chinoise de Windows Server 2003, peut être utilisée pour le contrôle ActiveX DirectAnimation Path de Microsoft. Le code original, publié par SecurityFocus, entraîne alors de l'écriture de mémoire invalide, une potentielle attaque par Deni de Service voire de l'exécution de code arbitraire.
SecurityFocus a catalogué cet exploit sous le nom Bugtraq ID 19738, et mentionne qu'aucun patch n'est disponible pour résoudre ce problème. Internet Security Systems classe cet exploit en " hautement critique ", partant du principe qu'aucun remède n'est connu pour corriger cette brèche.
Bien que plus de failles cette année dans les produits Microsoft aient été des exploits 0-day par rapport à l'année dernière, que ce soit pour une raison ou une autre, le problème pour la firme de Redmond, ce n'est pas que des personnes malveillantes puissent exploiter ces failles. Le vrai problème viendrait en effet du fait que les firmes de sécurité continuent de trouver des vulnérabilités et des exploits quatre ans après avoir découvert les problèmes inhérents aux ActiveX. Alors, est-ce encore la technologie de l'avenir '
