Microsoft Windows 8.1 et versions antérieures vulnérables à la vulnérabilité d'injection XMLDOM dans Internet Explorer 6 à 11

Cert-In, l’équipe de réponse aux urgences informatiques indienne, a averti que Microsoft Windows 8.1 et ses versions antérieures sont à risque en raison d’une vulnérabilité qui existe dans le contrôle ActiveX XMLDOM. La vulnérabilité peut être exploitée via Internet Explorer version 6 à 11. Les hackers/attaquants peuvent tirer parti de cette vulnérabilité pour injecter un code XMLDOM XML et obtenir les informations personnelles des utilisateurs de PC Windows ou transformer le PC Windows en ordinateur zombie pour participer à une attaque DoS ou DDoS sur des sites web.

Bien que la vulnérabilité ait été qualifiée de sévère par Cert-In, un chercheur de CXSecurity a déclaré qu’il pourrait s’agir d’une vulnérabilité de niveau moyen faible. Je reproduis l’intégralité du code donné par le chercheur de CXSecurity :

le code ci-dessus est imprimé grâce à cxsecurity.com

Les deux vulnérabilités ont été classées comme suit :

1. Vulnérabilité de divulgation d’informations (CVE-2013-7331)

• Cette vulnérabilité existe parce que le contrôle ActiveX XMLDOM contient des méthodes qui peuvent divulguer des informations sur un système informatique à l’opérateur d’un site web. Un attaquant distant pourrait exploiter cette vulnérabilité pour obtenir des informations sensibles telles que les lettres de lecteur local, les fichiers et les noms de répertoires en incitant un utilisateur à visiter une page web spécialement conçue et en examinant les codes d’erreur générés.*
• Cert-in a déclaré que cette vulnérabilité est exploitée dans la nature, mais CXSecurity dit que cela pourrait conduire à une exploitation marginale seulement.

2. Vulnérabilité de déni de service (CVE-2013-7332)

• Cette vulnérabilité existe en raison d’une détection incorrecte de la récursivité lors de l’expansion d’entités. Un attaquant distant pourrait exploiter cette vulnérabilité en convainquant un utilisateur de visiter un document XML conçu contenant un grand nombre de références d’entités imbriquées pour provoquer une consommation de mémoire et de CPU entraînant des conditions de déni de service (DoS). La machine peut alors être transformée en un « ordinateur zombie » pour lancer une attaque par déni de service (DoS) dans la nature ou une attaque par déni de service distribué (DDoS) dédiée.*
• À l’heure actuelle, Microsoft n’a pas publié de correctif/patch pour ces vulnérabilités, mais il existe une solution de contournement disponible si vous souhaitez protéger votre ordinateur. Vous devez définir les paramètres de zone de sécurité Internet et Intranet local dans les paramètres d’Internet Explorer sur « Élevé ». Cela désactivera alors à la fois les contrôles ActiveX XMLDOM et le script actif dans votre Internet Explorer et les scripts ne pourront pas être exécutés.