La technologie ActiveX de Microsoft est une nouvelle fois dans la tourmente sécuritaire. Loi des séries aidant, l’US-CERT qui est un service du Département de la Sécurité Intérieure des Etats-Unis, fait l’apologie d’un palliatif pour le moins radical, puisqu’il s’agit de désactiver la prise en charge des contrôles ActiveX dans les navigateurs Web qui les supportent, Internet Explorer en premier lieu. Rappelons que les contrôles ActiveX permettent le dialogue entre programmes et qu’ils ne sont pas forcément destinés aux applications Web même si c’est à ce niveau qu’ils sont le plus fréquemment rencontrés.

La recommandation de l’US-CERT est principalement motivée par la divulgation d’une vulnérabilité (publication du code exploit) affectant le contrôle ActiveX ImageUploader d’Aurigama. Ce nom bien étrange n’est pas forcément très évocateur, pourtant ce contrôle ActiveX est utilisé par de multiples sites dont les très populaires sites de réseau social MySpace et Facebook, afin de permettre la mise en ligne d’images. Plusieurs problèmes de débordement de mémoire tampon via diverses méthodes mal gérées ( Action, ExtractExif, Extractlptc ) ont été identifiés dans cet ActiveX et ainsi, par le biais d’un document HTML spécialement conçu, un attaquant distant peut exécuter sur le système pris pour cible, du code arbitraire avec les privilèges de l’utilisateur. Plusieurs versions dudit ActiveX sont vulnérables.

Outre cette vulnérabilité d’importance car plaçant sous la menace d’une exploitation des millions d’utilisateurs, la mesure de contournement préconisée par l’US-CERT est confortée par l’existence de vulnérabilités similaires affectant le lecteur Yahoo! Music Jukebox. Ces failles sont en effet dues à des débordements de tampon, présents là encore au niveau de contrôles ActiveX ( DataGrid et MediaGrid ) avec les mêmes risques évoqués précédemment.

L’US-CERT explique comment, par l’intermédiaire de la base de registre Windows, désactiver les contrôles au cas par cas mais cette opération est plus l’affaire d’utilisateurs avancés. Pour le commun des utilisateurs, dans l’attente de correctifs, la recommandation de l’US-CERT revient donc à désactiver la prise en charge globale.