Voici le mois de mai où les bugs ActiveX volent aux vents
Par Bertrand Arquilliere le vendredi 4 mai 2007, 09:21 - Sécurité des SI - Lien permanent
Ceux qui souhaitaient la fin de la mode des mois du bugs xxx, ne seront pas exaucés au mois de mai. Après le mois des bugs PhP, des bugs Apple, voici venir le mois des bugs/failles sur les contrôles ActiveX.
Un hacker s'identifiant sous le pseudo de "shinnai" a réuni suffisamment de faiblesses dans les contrôles ActiveX pour lancer le MoAxB (Month of ActiveX Bugs).
Sur son site, écrit en anglais d'un style décousu, le hacker précise qu'il s'agit d'éduquer les utilisateurs dans les risques d'ActiveX. Il ajoute que beaucoup des failles sont de simples DoS (Denial Of Service), mais qu'il fournira aussi quelques failles permettant l'exécution de code. Toujours dans le but d'informer les développeurs des risques liés à l'utilisation des contrôles ActiveX.
Depuis sa création, ActiveX a crée de nombreux maux de tête à Microsoft liés à des problèmes de sécurité. ActiveX est apparu en 1990 comme un feature de Object Linking and Embedding (OLE) afin de permettre aux applications Windows d'échanger des données. Le FrameWork est devenu en 1993 Component Object Model (COM) et, est aujourd'hui connu comme Distributed Component Object Model (DCOM).
L'été dernier, le chercheur en sécurité HD Moore avait trouvé une centaine de bugs liés aux ActiveX communément installées.
Le blog de shinnai est ici.
Commentaires
Bonjour,
Moi qui fais du php, j'ai suivi le mois de la sécurité php. Je trouve ce thème intéressant. Dernièrement il y eu le mois de la fonction php.
A quand le mois des vacances méritées