Une vulnérabilité non corrigée dans Internet Explorer permet de prendre le contrôle du PC à la visite d’une page web piégée. Un code d’attaque partiellement fonctionnel circule déjà sur Internet, mais les ingénieurs du site spécialisé Secunia affirment être en mesure d’infecter un PC sous Windows XP SP2 totalement à jour de ses correctifs.
L’histoire n’est qu’un éternel recommencement. Internet Explorer est ainsi à nouveau trahi par un contrôle ActiveX, la technologie propriétaire de Microsoft à l’origine de nombreuses vulnérabilités.Pour les curieux ou les techniciens, il s’agit cette fois-ci du contrôle daxctle.ocx. Pour les autres, il suffit de savoir qu’en appelant ce composant depuis une page web piégée, et en lui passant des paramètres spécifiques, un pirate sera en mesure de manipuler la mémoire du système afin de lui faire exécuter un programme de son choix.La seule visite à une page web peut donc provoquer l’installation d’un parasite et donc le détournement du PC. Il s’agit d’ailleurs du scénario privilégié par les pirates pour l’installation massive de logiciels publicitaires, de logiciels espions et autres botnets.Et ne croyez pas qu’il suffise d’éviter les sites « louches » (pornographiques ou warez par exemple) pour y échapper. Les pirates ont désormais compris qu’il est bien plus simple de prendre le contrôle d’un site web populaire traditionnel et de modifier ses pages pour qu’il exploite lui-même la vulnérabilité et distribue le code malicieux à ses visiteurs. Plusieurs sites web grand public très connus, et à fort trafic, en ont faits les frais en 2004 lors de l’attaque du ver Scob.Aucun correctif n’est disponible pour la faille actuelle. Et le cocktail est d’autant plus explosif qu’un code de démonstration circule déjà. Il est certes partiel (il ne fonctionnerait que sur Windows 2000), mais le site Secunia affirme avoir réalisé un code fonctionnel sur un Windows XP SP2 totalement à jour de ses correctifs. Et si Secunia peut le faire, il n’y a guère de raison que d’autres en soient incapables.En attendant un correctif de la part de Microsoft, la solution la plus radicale consiste à utiliser un autre navigateur, puisque la technologie ActiveX n’est reconnue que par Internet Explorer (bien que Firefox ait lui aussi son lot de problèmes actuellement ! Soyez donc certains de télécharger la dernière version).Si cependant vous devez conserver l’usage d’ActiveX (il existe des applications légitimes et fort pratiques de cette technologie, notamment les analyses antivirales en ligne), il est alors possible de déplacer le contrôle en question sur le bureau (faites une recherche sur le fichier daxctle.ocx puis un coupé-coller sur le bureau, en notant au passage son emplacement d’origine afin de le remettre en place lorsqu’un correctif sera disponible). Enfin, si les manipulations de fichiers ne vous enchantent pas, il ne vous reste plus qu’à attendre qu’un expert ou un autre publie un correctif officieux chargé de désactiver le composant. Correctif que vous appliquerez cependant, comme tout code récupéré sur le web, à vos risques et périls ! Mise à jour : Le « correctif » officieux n’aura guère traîné. L’Internet Storm Center, une source digne de confiance, propose un outil destiné à neutraliser (et réactiver à volonté) le contrôle ActiveX vulnérable.