Microsoft signale de nouvelles attaques

Cloud

L’éditeur a mis en garde ses utilisateurs contre des risques d’attaque exploitant une faille des contrôles ActiveX.

Microsoft vient de signaler à ses utilisateurs un nouveau risque d’attaque apparu sur l’un de ses composants de navigateur ActiveX. L’éditeur a en effet reçu des rapports signalant un nombre limité d’attaques ciblées exploitant une faille du contrôle ActiveX pour Snapshot Viewer, un plug-in de navigateur pour Microsoft Office Access 2000, 2002 et 2003. La faille ne concerne pas Office Access 2007.

Si elle est exploitée, cette vulnérabilité pourrait être utilisée par un pirate pour prendre le contrôle d’un système avec les droits de l’utilisateur actuel. Les contrôles ActiveX sont utilisés par Internet Explorer pour se connecter à d’autres applications et afficher du contenu dans le navigateur. Les autres navigateurs n’utilisent pas de contrôles ActiveX et ne sont donc pas vulnérables à l’attaque.

Microsoft a également noté que les copies d’Internet Explorer utilisant Enhanced Security Configuration (sous Windows Server 2003 et 2008, par exemple) sont également protégées contre les risques d’attaque.

Les rapports concernant ces attaques sont intervenus seulement un jour avant la date prévue pour la publication d’une mise à jour de sécurité mensuelle qui, pour la première fois depuis trois ans, ne comportait aucun bulletin ‘critique’.

Traduction de l’article Microsoft warns of new attacks de Vnunet.com en date du 8 juillet 2008