Le contrôle ActiveX « MSN Chat », installé par défaut lorsque que MSN Messenger est utilisé, est vulnérable à un dépassement de mémoire tampon. Ce n’est pas tant cette découverte qui rend l’information amusante, que son exploitation potentielle. Jusqu’à présent, en effet, la multitude de failles du même ordre découvertes au sein de Windows ne pouvaient être exploitées que si l’internaute utilisait le logiciel en question. Mais grâce à la technologie ActiveX et son insécurité chronique, le pirate n’est plus limité : si l’internaute qui visite son site n’a pas installé MSN Messenger (une sage décision), qu’à cela ne tienne : il pourra lui-même provoquer le téléchargement du contrôle et son installation sur le PC de sa victime, sans que celle-ci ne s’en rende compte. Et une fois MSN chat installé, le pirate pourra exploiter la faille en toute tranquillité pour prendre le contrôle du PC de sa victime.Cette « prouesse » est rendue possible par la signature numérique que Microsoft appose à certains contrôles ActiveX qu’il produit, afin que ceux-ci soient téléchargés automatiquement par Windows, sans demander au préalable la confirmation de l’internaute. Et puisque MSN Chat est un composant issu de Microsoft, il est correctement signé… et se téléchargera donc en silence sur la majorité des installations par défaut de Windows.Pour se protéger :Il est avant tout nécessaire d’interdire tous les contrôles ActiveX dans Internet Explorer (il s’agit d’une technologie peu sûre et inutile).Pour une protection spécifique à cette faille, Microsoft à publié un correctif, disponible sur son site Internet. En outre, l’application du correctif Outlook Email Security Update rend impossible l’exploitation de cette vulnérabilité, et de bien d’autres.