Clippy le trombone compromet Windows 2000

La vulnérabilité critique découverte dans Windows 2000 affecte le contrôle ActiveX "Agent" (agentdpv.dll), mieux connu sous la forme du détestable petit trombone de la suite Office (l'Assistant Office). Ce dernier, disparu dans les versions actuelles d'Office, permettrait à un intrus sous Windows 2000 SP4 d'exécuter le code de son choix sur le PC à la simple visite d'une page web piégée.

Il suffit en effet d'introduire quelques lignes de Javascript sur une page web afin d'appeler le contrôle ActiveX vulnérable et tirer profit de la faille. L'attaque est donc ouverte non seulement aux sites généralement considérés comme peu fiables (warez, cracks, pornographiques, etc...) mais aussi aux sites légitimes qui auraient pu être compromis. Cette dernière approche est un vecteur d'attaque particulièrement courant aujourd'hui. Récemment, de nombreux sites web italiens ont fait les frais de cette méthode d'attaque, et avant eux même le portail de Wanadoo en France.

La vulnérabilité est corrigée depuis mardi, mais cela n'empêche pas plusieurs codes d'exploitation d'avoir vu le jour, de manière isolée ou diffusés dans giron de plate-formes de tests d'intrusion. Microsoft conseille vivement l'application du correctif ou, si cela n'est pas possible immédiatement, de désactiver le support des contenus actifs dans Internet Explorer (ActiveX et Javascript).

• L'alerte de Microsoft (en français)