Pages vues depuis Mai 2001 : 103 609 030
ALERTE VULNERABILITE - Internet ExplorerPosté par : developpeurALERTE VULNERABILITE - Vulnérabilité non corrigée (0day XMLHTTP ActiveX) dans Microsoft Windows Des attaques localisées ont été menées sur Internet à l'aide d'un code d'exploitation concernant une vulnérabilité non corrigée sur le contrôle ActiveX XMLHTTP 4.0 livré avec les systèmes Microsoft Windows. Une vulnérabilité d'exécution de code liée au traitement d'arguments invalides par la méthode "setRequestHeader()" a été découverte au sein du contrôle ActiveX XMLHTTP 4.0 livré par Microsoft XML Core Services 4.0 sur les systèmes Windows. Un attaquant peut alors créer une page Web malicieuse, qui, à sa lecture par Internet Explorer, permettra d'exécuter du code arbitraire avec les droits de l'utilisateur. Sont vulnérables : Microsoft Windows 2000 SP4 Microsoft Windows XP SP2 Microsoft Windows Server 2003 Microsoft Windows Server 2003 SP1 Solutions : Les systèmes Microsoft Windows Server 2003 et Windows Server 2003 Service Pack 1 configurés par défaut ("Enhanced Security Configuration" activé) ne sont pas vulnérables. Comme solution temporaire, il est possible d'interdire l'instanciation du contrôle ActiveX en modifiant la base de registre afin de placer un "kill bit". Pour cela placer la valeur "0x00000400" dans la clé suivante : HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerActiveX Compatibility{88d969c5-f192-11d4-a65f-0040963251e5} Il est également possible de limiter l'exécution des ActiveX et de l'Active Scripting, ou de demander préalablement l'accord à l'utilisateur, selon les configurations des zones de sécurité d'Internet Explorer. source : Lexsi |
Temps : 0.0567 seconde(s)