Microsoft a publié le 6 juillet 2009 un bulletin d’alerte concernant la gestion des ActiveX sur Windows XP et 2003 Server pour tous les utilisateurs d’Internet Explorer.

En cause le contrôle ActiveX Microsoft Video (msvidctl.dll de DirectShow) en charge de la gestion de flux vidéo. Il permet à une personne distante malintentionnée d’exécuter du code arbitraire via une page web avec les droits de l’utilisateur qui consulte la page web. Un utilisateur d’Internet Explorer avec les contrôles ActiveX actifs et connecté en tant qu’administrateur peut ainsi être victime d’une attaque allant jusqu’à la prise de contrôle totale à distance du PC.

Cette vulnérabilité est déjà exploitée sur Internet et la méfiance est de rigueur. La faille dépend de la version de DirectShow, celle de Windows XP et Windows 2003 Server, et s’appuie sur Internet Explorer quelle que soit la version utilisée. Ainsi elle concerne toutes les versions d’Internet Explorer et Microsoft propose un correctif provisoire pour ces deux systèmes en attendant la diffusion des correctifs du mardi 14 juillet 2009.

Le correctif provisoire désactive 45 types d’objets COM pour Internet Explorer. Ainsi le navigateur ne craint plus d’attaques sur cette faille mais refusera de faire fonctionner certains sites de vidéo. Une solution plus souple reste l’usage d’un navigateur alternatif.

Les systèmes autres que XP et 2003 Server ne sont pas impactés par cette faille.Lisez les Commentaires, Réagissez à cet article … .