Avril : cinq correctifs pour Microsoft Jerome Saiz le 12 avril 2006 à 17h32, dans la rubrique Menaces Commentaires fermés sur Avril : cinq correctifs pour Microsoft avrilbulletinmicrosoft L’éditeur corrige trois vulnérabilités critiques, dont l’une était déjà exploitée sur le web afin d’installer des spywares. Au menu également : la correction d’une faille importante pour Outlook Express, et un autre pour l’Explorateur Windows. La livraison mensuelle des correctifs Microsoft apporte cette fois-ci une rustine très attendue : celle qui corrige la vulnérabilité du create TextRange () La faille permettait d’installer n’importe quoi sur le PC à la visite d’un site web piégé, sans aucune intervention de l’utilisateur. Depuis la publication de son « mode d’emploi » sur plusieurs listes de diffusion et par des sites web spécialisés, elle était très utilisée à travers le web pour installer des spywares et adwares à tour de bras. En guise de correctif, Microsoft s’était contenté jusqu’à présent de conseiller à ses utilisateurs de désactiver l’exécution des contrôles ActiveX par Internet Explorer. Une solution radicale s’il en est car, en dépit de la très mauvaise réputation d’ActiveX en matière de sécurité, cette technologie est devenue indispensable à certaines entreprises, notamment pour la télédistribution de clients sur les postes de travail (les auteurs de spywares ne font, finalement, qu’utiliser un outil gracieusement mis à leur disposition !). Mais cette solution a montré ses limites : tandis que les utilisateurs d’autres navigateurs vivent très bien sans ActiveX, sa désactivation parmi une population habituée à Internet Explorer aura souvent provoqué des pics d’appels au support technique… et donc coûté de l’argent ! Pour ces entreprises là, le calvaire est terminé : il est maintenant possible d’autoriser à nouveau ActiveX, ou de désinstaller le correctif officieux publié entre temps par deux éditeurs spécialisés. Mais pour les responsables informatique qui se découvrent liés à cette technologie propriétaire sur leurs postes de travail, une réflexion est très certainement au programme… Les autres vulnérabilités mentionnées dans ce bulletin concernent notamment à nouveau Internet Explorer (par exemple à travers un autre contrôle ActiveX distribué avec les Microsoft Data Access Components), Outlook Express (à travers l’utilisation d’un fichier de carnet d’adresse piégé) et l’Explorer de Windows (via une vulnérabilité exploitable à la visite d’un serveur distant). Tous les détails sont disponibles sur le site de Microsoft. Vous avez aimé cet article? Cliquez sur le bouton J'AIME ou partagez le avec vos amis! Notez L'article Participez ou lancez la discussion!