Internet Explorer encore victime d’une faille critique de sécurité

Microsoft a reconnu le 14 septembre l’existence d’une nouvelle vulnérabilité qui affecte son navigateur Internet Explorer 6.x pour les plates-formes Windows (2000 SP4, XP SP1 et 2 etServer 2003). IE 5.01 pour Windows 2000 SP4 est également affecté.

Jugée critique par les experts en sécurité, cette faille est liée à une corruption de mémoire dans le contrôle ActiveX « Microsoft Multimedia Controls » (daxctle.ocx). L’exploitation de ce trou de sécurité permet à une personne mal intentionnée d’exécuter du code arbitraire sur une machine distante afin, notamment, d’en prendre le contrôle. Le pirate bénéficierait ainsi des mêmes droits d’administration que l’utilisateur local.

Selon l’avis de sécurité 925444 de Microsoft, l’attaquant doit cependant convaincre la victime potentielle de visiter une page Web réalisée spécialement pour exploiter la vulnérabilité. C’est aussi l’avis du spécialiste en sécurité Secunia. Microsoft a d’ailleurs reconnu la mise en ligne de la preuve de faisabilité, notamment publiée par le site Xsec.org. Mais l’éditeur dément toute exploitation réelle de la vulnérabilité à ce jour.

Pour le moment, il n’existe aucun correctif applicable. Microsoft prévoit de le réaliser dans le cadre du prochain bulletin de sécurité mensuel qui sera publié le mardi 10 octobre. En attendant, l’éditeur de Windows recommande de n’autoriser que les sites de confiance à exploiter les contrôle ActiveX. Bref, faites attention où vous surfez.