ActiveX (encore) à l'origine d'un ZDE... et autres bugs
Il semble que ce soit le SecuriTeam qui soit à l'origine de l'annonce publique, le lendemain de la publication du bulletin d'alerte émis par Microsoft. Suivi de près par Secunia et du Cert. Chacun des observateurs extérieurs considère le problème comme critique, affectant aussi bien I.E. 6.x et 7.x, et conseille de désactiver le contrôle ActiveX XMLHTTP 4.0. Avec un nom pareil, le prononcer 3 fois à haute voix devrait suffire à éloigner tout risque d'attaque. Il existe actuellement une dizaine d'exploits aisément reproductibles qui soit facilitent un spoofing, soit gèlent totalement Internet Explorer 6.x/7.x, certaines de ces méthodes d'exploitation remontant à janvier... 2004, voir mai 2003. Sans oublier quelques « vieux freeze », plus ennuyeux que destructifs, qui remontent au millénaire précédent. Ces PoC font l'objet, çà et là, de repositories publiques pour hackers passionnés, et ne doivent donc pas être considérés comme quantité négligeable. Puisque l'on en est au chapitre des collections amusantes, rappelons que çà flingue toujours à tout-va sur le Month of Kernel Bug, avec un collier de perles Unix fort bien assorti (FreeBSD, Linux 2.6, Solaris..) et un petit exploit affectant le GDI de XP. Outre un Bsod (Blue Screen of Death) assez fréquent, ses auteurs précisent que la faille peut faciliter une élévation de privilège. Des imperfections GDI qui provoquent des écrans bleus, on en a l'habitude, depuis Windows 3.0...
