Une faille dans Microsoft Visual Studio 2005
Publié par La rédaction le - mis à jour à
Microsoft a reconnu l'existence d'une faille dans sa plate-forme de développement Visual Studio 2005, qualifiée par Secunia d »extrèmement critique'
Un code d'attaque 'proof-of-concept' (démonstration et validation d'un concept) visant Visual Studio 2005 vient d'être publié. Microsoft lui reconnaît la capacité d'exécuter un code sur une machine Windows ciblée, à l'insu de son utilisateur.
La vulnérabilité est liée à un contrôle ActivX nommé 'WMI Object Broker' intégré à la DLL 'WmiScriptUtils.dll'. Pour que l'attaque fonctionne, l'utilisateur doit se rendre sur un site web qui exploite la faille. Classiquement, les liens vers ces sites à risque sont fournis par des e-mails spammés?
Le contrôle ActivX ne figurerait pas dans la liste des contrôles activés par défaut sur Internet Explorer 7. De même, ne sont pas affectés Windows Server 2003 et SP1 qui exécutent Visual Studio 2005 si Enhanced Security Configuration est activé.
« Nous sommes conscients de la possibilité d'attaques limitées qui tentent d'exploiter la vulnérabilité qui a été dévoilée« , a écrit Christopher Budd, directeur du programme de sécurité de Microsoft sur le blog Security Response Center de l'éditeur.
En cas d'attaque réussie, le hacker dispose des mêmes droits qu'un utilisateur local. C'est pourquoi Microsoft conseille d'accorder moins de droits qu'un administrateur, ce qui limitera l'impact d'une attaque.