Microsoft : une nouvelle faille zero-day qui touche 'presque tous les Windows'

Depuis hier, la section sécurité de Microsoft connaît une agitation toute particulière puisqu’une nouvelle faille dite "critique" vient d’être découverte. Effectivement, Secunia et la firme de Redmond sont parfaitement d’accord sur l’existence et sur l’exploitation de cette vulnérabilité qui touche tous les systèmes d’exploitation de Microsoft à l’exception de Windows Server 2003. De plus, cette dernière faille de sécurité s’exploiterait par le biais d’Internet Explorer 6 et/ou 7.

ActiveX au centre du problème

Ladite faille vient, comme souvent, d’un module ActiveX. Pour le coup, c’est le module ActiveX XMLHTTP 4.0, principalement utilisé par le navigateur Web de Microsoft, qui est touché. En temps normal, ce module permet de charger plus rapidement les pages web afin d’accélérer la navigation de l’internaute. Toutefois, les pages Web fallacieuses sont elles aussi concernées par cette dernière fonctionnalité, ce qui serait à l’origine de l’exploitation de cette faille. Ce dernier point a d’ailleurs été confirmé à plusieurs reprises.

Deux ’petites’ solutions pour le moment

Dans l’état actuel des choses, deux méthodes seraient envisageables afin de se protéger de cette faille. La première consisterait à augmenter le niveau global de sécurité (de ’moyen’ à ’élevé’) d’Internet Explorer aussi bien en local que sur le Web ; ou encore de demander un avis de confirmation a chaque fois qu’un contrôle ActiveX est utilisé. La seconde méthode est nettement plus périlleuse puisqu’elle nécessite une manipulation de la base de registre.

Enfin, il ne nous reste qu’à attendre un éventuel correctif, ou la très prochaine sortie du patch Tuesday de novembre.

• Consulter le bulletin de sécurité de Secunia.
• Consulter la note d’avertissement de Microsoft.