Microsoft met en garde contre une attaque ‘zero day’

Microsoft met en garde contre une attaque due à une faiblesse dans le Video ActiveX control et recommande un ‘workaround’.

Microsoft met en garde contre une attaque due à une faiblesse dans le Video ActiveX control et recommande un ‘workaround’.

Les utilisateurs de Windows XP et de Windows Server 2003 (pas de Vista et de Windows Server 2008) en combinaison avec Internet Explorer courent le risque que la consultation d’un site web contaminé transfère leur système à des tiers. Ces derniers peuvent alors faire tourner des programmes malveillants à distance sur le système infecté.

Le problème concerne une faiblesse dans le .dll qui prend le Video ActiveX control à son compte. Manifestement, cette faiblesse est déjà utilisée depuis une semaine par des personnes véreuses et aucune solution n’a encore été apportée (une attaque ‘zero day’ est un abus d’une faiblesse par des tiers, avant que le constructeur du produit concerné en ait connaissance et puisse donc apporter une correction).

Microsoft [conseille] donc d’avoir recours à un ‘workaround’ qui doit aider à contourner le problème. De plus amples informations sont disponibles [dans Microsoft Security Advisory 972890].