HouseCall_Trend_Micro La société danoise Secunia a publié dimanche un avis de sécurité qualifié de hautement critique, au sujet d'une vulnérabilité affectant Trend Micro HouseCall.

Proposée par l'un des leaders de la sécurité informatique, cette application permet de scanner en ligne un ordinateur Windows afin de déterminer s'il a été infecté par un code malicieux. Pour ce faire, Trend Micro HouseCall sollicite un contrôle ActiveX à installer au préalable par l'utilisateur, et c'est cet ActiveX qui est vulnérable.

Secunia évoque ainsi le cas d'un attaquant distant qui via un document HTML spécialement formé et chargé par l'utilisateur pris pour cible, peut invoquer le contrôle ActiveX Housecall_ActiveX.dll et accéder à de la mémoire précédemment libérée par l'intermédiaire de la fonction notifyOnLoadNative() afin d'exécuter du code arbitraire.

La vulnérabilité a été confirmée dans les versions 6.51.0.1028 et 6.6.0.1278 du contrôle ActiveX. Ce contrôle est à supprimer, et l'utilisateur doit se rendre sur le site HouseCall pour procéder à l'installation de la version 6.6.0.1285 non vulnérable. De plus amples explications dans la note publiée par Trend Micro.