Une nouvelle vulnérabilité dans le composant ActiveX Video Control de Microsoft met à nouveau la pression sur le navigateur. En effet, des milliers de sites web (compromis pour la plupart) sont déjà utilisés pour exploiter cette faille et prendre le contrôle de la machine.
Du côté des correctifs, Microsoft a publié un bulletin de sécurité et une analyse sur son blog sécurité mais pas encore de version corrective. Le seul moyen de contournement étant d’utiliser le fameux Kill-bit pour désactiver l’ActiveX (ou bien sûr de ne pas utiliser IE pour surfer sur Internet…). Microsoft mérite tout de même un carton rouge car le numéro de CVE (CVE-2008-0015) et sa date d’enregistement montre qu’ils avaient connaissance de la vulnérabilité depuis 18 mois.
Du côté de commonIT, notre solution de navigateur virtualisé Virtual Browser permet de protéger, par construction, le poste de l’utilisateur de ce genre d’attaque. En effet, même en utilisant le moteur de rendu d’Internet Explorer, l’exploitation de cette vulnérabilité ne permettra la prise de contrôle, ni du poste de l’utilisateur, ni du réseau de l’entreprise, ni même des applications web de confiance. Tout code malveillant téléchargé sera détruit automatiquement lors de la fermeture de la fenêtre. Stress-free Internet ?
