Une faille de sécurité critique détectée dans Real Player

Cloud

La vulnérabilité liée au traitement des contrôles ActiveX concernerait uniquement le navigateur Internet Explorer.

Une nouvelle faille non-corrigée dans l’application Real Player est aujourd’hui la cible des cybercriminels. Selon l’éditeur Symantec, moins de 50 cas d’infection ont été signalés à ce jour et les attaques seraient limitées à seulement quelques sites Web.

L’attaque vise une vulnérabilité non-corrigée dans le lecteur multimédia RealPlayer. Real Networks a précisé à Vnunet.com qu’un correctif serait disponible avant la fin de la journée du vendredi 19 octobre.

La vulnérabilité se situe au niveau du traitement des appels ActiveX par le composant Real Player. ActiveX est un système utilisé pour associer Internet Explorer à d’autres applications, comme le lecteur multimédia Real Player par exemple. Lorsque l’utilisateur visite une page web infectée, un code javascript malveillant s’exécute et exploite la vulnérabilité pour installer un cheval de Troie.

Ce cheval de Troie télécharge et installe à son tour un autre programme malveillant qui limite les paramètres de sécurité d’Internet Explorer afin de faciliter les attaques futures sur le système de l’utilisateur. Une fois l’exploit correctement exécuté, RealPlayer lit une vidéo de test standard.

L’éditeur a fait observer que ce n’était pas la première fois qu’une faille dans ce composant, appelé ierpplug.dll, était signalée. En décembre dernier, un chercheur en sécurité est parvenu à exploiter le composant pour exécuter un déni de service.

L’US Computer Emergency Response Team (US-CERT) recommande aux utilisateurs de désactiver les contrôles ActiveX jusqu’à ce qu’un correctif soit disponible. Les utilisateurs de niveau avancé peuvent également limiter les risques en installant un bit d’arrêt dans le registre Windows afin d’empêcher l’exécution du contrôle ActiveX vulnérable.

Selon les experts de Symantec, le navigateur Firefox ne serait apparemment pas affecté dans la mesure où il n’utilise pas de contrôle ActiveX.

Adaptation de l’article Attackers feast on Real Player flaw de Vnunet.com en date du 19 octobre 2007.