Sunday 14 March 2010
Article  Cloud security assessment scheme launched

Sunday 14 March 2010
In Brief  Human element undermines encryption

Thursday 11 March 2010
Article  Digital privacy framework steps closer?

Monday 8 March 2010
Audio Podcast  Web 2.0 and Social Networks in the Enterprise

Sunday 7 March 2010
Article  Digital Economy Bill raises privacy concerns

Wednesday 3 March 2010
Article  Cloud security threats identified by CSA

Tuesday 2 March 2010
In Brief  Vote for your CSO Interchange topics

Thursday 25 February 2010
Article  Cloud Computing : a simple question of supplier risk

Monday 22 February 2010
Article  Most dangerous coding errors outed

Monday 22 February 2010
In Brief  Microsoft IE users to get browser choice update

Friday 19 February 2010
Article  Google Buzz fail highlights privacy expectation rise

Thursday 18 February 2010
In Brief  Annual hacking challenge aims for mobiles and browsers

Wednesday 17 February 2010
Audio Podcast  The Challenges of Cross Border eID

Monday 15 February 2010
Audio Podcast  The Readiness of eID in Europe Part 2

Sunday 14 February 2010
Audio Podcast  The Readiness of eID in Europe Part 1

Written by Jerome Saiz (SecurityVibes)
Published on Friday 19 August 2005
0 comment(s) | Subnetwork France

C'est ce que l'on appelle un "0day" : une vulnérabilité pour laquelle un code d'exploitation est diffusé avant que l'éditeur n'ait eu le temps de publier le correctif ad-hoc.Une fois n'est pas coutume, c'est Internet Explorer qui est le dindon de la farce. En faisant "crasher" une librairie particulière à travers le navigateur (en visitant par exemple une page web piégée), un pirate serait alors en mesure d'exécuter le code de son choix sur le PC de sa victime. L'attaque a été confirmée sur Windows XP SP2 entièrement à jour de ses correctifs, ce qui en fait une menace particulièrement sérieuse.La librairie en question s'appelle msdds.dll (Microsoft DDS Library Shape Control). Elle n'a jamais été prévue pour être appelée depuis Internet Explorer, et c'est là que se situe la faille : en forçant le navigateur à l'appeler comme s'il s'agissait d'un composant ActiveX (depuis une page web, donc) il est possible de la faire crasher d'une manière qui soit exploitable par un pirate.Il faut cependant noter que cette librairie n'est pas installée par défaut dans Windows, mais elle est tout de même très courante. Elle s'installe notamment avec Microsoft Office (XP et Professional 2003) et Visual Studio (2002 et 2003). Un PC dénué de ces logiciels est donc immunisé à cette vulnérabilité.Pour les autres cependant, la faille n'a rien de théorique : un code d'exploitation en langage Perl a été diffusé sur le web. Une fois exécuté, il ouvre un interpréteur de commande au port 28876 et offre ainsi le contrôle de la machine à n'importe qui. Avec un tel exemple entre les mains, de nombreux groupes d'escrocs pourraient bientôt tenter de pirater un maximum de sites web afin de les utiliser pour diffuser spywares, adwares et autres gâteries. Ce type d'attaque a déjà été menée avec succès et repose justement sur une faille de ce type du côté d'Internet Explorer.Il semblerait cependant que toutes les versions de la DLL msdds.dll ne soient pas égales face à l'attaque et le code d'exploitation ne fonctionnerait qu'avec certaines d'entre elles. Ainsi la version 7.0.6064.9112 serait vulnérable mais pas la 7.10.3077.0. Pire : Office XP installerait bien la librairie vulnérable, mais d'une manière qui la rendrait plus difficile à exploiter !Au milieu de tout ce tohu bohu Microsoft n'a encore publié aucun correctif. Tout juste une note dans laquelle l'éditeur affirme être entrain de déterminer le niveau de gravité de l'affaire. Dans le texte, l'exécution de code n'est encore qu'une possibilité et seul le crash d'Internet Explorer est reconnu. Bref, Microsoft est à la traîne et se plaint de ne pas avoir été prévenu à l'avance.En attendant le correctif ad-hoc, la protection la plus simple consiste à changer de navigateur ou à désactiver l'exécution des contrôles ActiveX dans Internet Explorer. Après tout, les millions d'utilisateurs de Firefox surfent très bien sans cette technologie pour l'essentiel inutile et dangereuse.Et pour ceux qui tiennent vraiment à s'encombrer d'ActiveX, Microsoft propose dans son alerte une série de mesures provisoires afin de limiter l'impact de cette vulnérabilité.Enfin, il est également possible de télécharger un petit utilitaire sur le site de l'Internet Storm Center, qui se chargera de neutraliser la librairie vulnérable si elle se trouve sur votre système.

• L'alerte officielle de Microsoft (en anglais)
• L'alerte chez Secunia (en anglais)
• L'alerte chez le FrSIRT (en francais)
• L'utilitaire de désactivation de la librairie vulnérable sur le site de l'ISC