Exploit code pour une vulnérabilité non corrigée dans Internet Explorer de Microsoft circule, une entreprise de sécurité a déclaré vendredi, mais le danger demeure faible tant que les attaques actuelles ne se plante le navigateur.
Entièrement patché Windows XP SP2 et Windows 2000 SP4 systèmes sont ouverts à la nouvelle attaque, a déclaré David Cole, directeur de la sécurité de Symantec réponse groupe. "C'est la preuve de concept de code, nous n'avons constaté aucune activité exploits», a déclaré Cole. «Que ce soit elle pousse en quelque chose de plus grand est fortement liée à s'il obtient l'exécution de code distant [moyens]," at-il ajouté.
La nouvelle vient tout juste trois jours après que Microsoft a sorti sa nouvelle mises à jour de sécurité. Mardi, cependant, la compagnie de navigation n'a pas été patché; fixer une auguste qui a fini par être relâché trois différentes reprises, dernièrement, cette semaine, a été la dernière mise à jour d'IE.
Il n'existe pas de correctif disponible pour le bug que Microsoft a reconnu qu'il étudie. Dans un avis de sécurité publié jeudi, le Redmond, Wash développeur a indiqué qu'elle se soit un correctif dans sa réguliers mensuels régulièrement mise à jour, ou comme un hors-cycle de correction. Windows Server 2003 n'est pas en danger.
Le nouveau IE problème est lié à un contrôle ActiveX (Microsoft DirectAnimation Path) qui fait partie de la «daxctle.ocx" objet COM. Un attaquant qui a réussi à exploiter la vulnérabilité pourrait prendre en otage l'ordinateur, Microsoft a reconnu, sans aucune interaction une fois que l'utilisateur avait été séduits à un site Web malveillant.
Microsoft a patché les contrôles ActiveX plusieurs fois l'année dernière que des assaillants ont découvert que Windows n'a pas été correctement vérifié si les données transmises à des contrôles a été admis au sein de paramètres. Dans le cas de la preuve de concept de code disponible, JavaScript passe inacceptable données à la maîtrise, ce qui se traduit par un débordement de pile.
Cole a dit que ce n'était pas un choc ActiveX continue d'avoir des problèmes. «Le plus de fonctionnalités [dans le code], plus il est probable qu'il ya une erreur dans cela", at-il dit. «La complexité est l'ennemi de la sécurité. Il s'agit d'un problème difficile à résoudre. Développeurs essaient de trouver un équilibre entre les riches fonctionnalités de sécurité."
Même si une réelle in-the-wild exploit n'a pas été repéré, certains organismes de sécurité a sonné l'alarme. Danois tracker vulnérabilité Secunia, par exemple, le classement des défauts d'IE comme "extrêmement critique, c'est plus sérieux avertissement.
Avec un patch n'est pas disponible, Symantec recommande aux utilisateurs de vérifier les conseils de Microsoft, qui comprenait le réglage «kill bit» pour le contrôle ActiveX pour le désactiver. Que, toutefois, il faut les utilisateurs de modifier le Registre Windows, quelque chose que beaucoup ne sont pas prêts à le faire. Dans le passé, les suggestions de Microsoft de fixer des bits de tuer ont été repris par un tiers de chercheurs, qui se sont coudés à des outils automatisés permettant de désactiver le contrôle.
Une autre tactique, dit Microsoft, est de désactiver tous les contrôles ActiveX dans Internet Explorer à partir de la boîte de dialogue qui apparaît après que vous sélectionnez Outils | Options Internet.
Internet Explorer 7, Microsoft qui sortira plus tard cette année pour Windows XP (et au début de la prochaine livré avec Windows Vista), peut freiner les vulnérabilités similaires à l'avenir, a dit Cole. «Il ya déjà des signes encourageants», a déclaré Cole, "mais de penser que IE 7 va éliminer toutes ces vulnérabilités est ignorant de l'histoire de la sécurité informatique."
En fait, il ya des signes croissants que les assaillants pourraient bientôt cible les applications Web 2.0 écrite en Ajax. Parmi les sites à base d'Ajax et de services, Cole a compté le populaire réseau social MySpace, ainsi que de nouvelles versions de Web-based e-mail de Microsoft et Yahoo.
«Nous sommes déjà vu un peu d'intérêt», a déclaré Cole. "Le ver MySpace, et le ver qui attaque Yamanner Yahoo Mail [en juin]. Ils ne sont pas exploités rampantly, mais ensuite, ni Ajax est utilisé largement répandue.
"Nous allons en savoir beaucoup plus sur la façon dont la vulnérabilité se trouve dans l'Ajax pas trop lointain avenir."
Source - Tech Web