Méfiez-vous des skins !

Depuis quelques jours, un patch pour Windows Media Player est disponible sur le site américain de Microsoft. Un seul patch pour deux failles de sécurités différentes. La première, ainsi que l’indique Microsoft, est liée au support par le Media Player du format ASX (Active Stream Redirector), le format de streaming maison. Le script pour l’exécution d’un fichier ASX ne vérifie pas la mémoire tampon, ce qui permet à un utilisateur malveillant d’introduire un programme sur la machine d’un autre utilisateur. De la sorte, il est possible d’envoyer un fichier infecté pour qu’il s’exécute ensuite ou même de le poster sur un site Web afin qu’il se lance automatiquement. Ensuite, le pirate peut faire ce qu’il veut de la machine qu’il contrôle. Cette faille touche aussi bien la version 6.4 du Media Player que la 7.0. L’autre faille n’affecte que la version 7.0. Elle est directement liée à l’emploi des skins, les interfaces graphiques personnalisables. Or un skin, au format WMS, peut être infecté par un script s’exécutant automatiquement lors de son chargement. Tout comme avec les fichiers ASX, un script malveillant peut être automatiquement lancé chez les utilisateurs visitant un site hébergeant le code. Cela permet au «pirate» d’exécuter des contrôles ActiveX et d’accéder ainsi à toutes les fonctions liées à ces programmes, ce qui lui confère une grande liberté de manœuvre dans l’ordinateur de sa victime. À bon entendeur...