Un porte-parole de Microsoft a annoncé mercredi qu'un correctif fixant la vulnérabilité critique d'Internet Explorer (exploitée par Scob/Download.Ject) serait bientôt disponible. Ce patch devait être publié la semaine prochaine, plusieurs jours avant le patch-day de Microsoft (deuxième mardi du mois).
Cela vous intéressera aussi

En fait ce correctif est sorti plus tôt que prévu (le 30/07) sous la référence Microsoft InternetInternet Explorer Cumulative Security Update (MS04-025). Il couvre également deux autres faillesfailles connues mais non corrigées. On peut le charger sur Windows Update.

Début juillet, Microsoft avait publié un pseudo-correctif visant à corriger une partie de ces vulnérabilités. Il se contentait de désactiver le module "Adodb.stream" permettant l'exécution de scripts ActiveXActiveX en mode local, ce qui, combiné avec d'autres failles IE, a été exploité par Scob/Download.Ject.

Le premier problème "Navigation Method Cross-Domain", identifié depuis plusieurs semaines, a été largement exploité dans la série d'attaques Scob/Download.Ject, ainsi que par des sites malicieux installant des spyware/adware. La seconde vulnérabilité "Malformed BMP File BufferBuffer Overrun" a été identifiée en Février 2004 suite à un audit sur le code sourcecode source (volé) de Windows 2000, elle pourrait permettre l'exécution de commandes arbitraires distantes via un fichier BMP malformé. La dernière faille "Malformed GIFGIF File Double Free Vulnerability" a été identifiée en Septembre 2003, elle pourrait être exploitée par un attaquant distant afin d'exécuter des commandes arbitraires via un fichier GIF malicieux.

Synthèse par Jean-Pierre LouvetJean-Pierre Louvet - Futura-Sciences
de deux articles de K-Otik.