Microsoft, qui avait sonné l’alarme au début du mois à propos de cette faille, mais sans offrir de correctif, a finalement colmaté cette semaine la brèche qui permettait aux pirates de s’attaquer au contrôle vidéo Active X d’Internet Explorer et ainsi d’installer des logiciels malveillants sur les ordinateurs des Internautes qui visitaient les sites contaminés.

Selon Michael Howard, un responsable de la sécurité chez Microsoft qui a commenté l’affaire sur un blogue de la compagnie, une simple erreur typographique serait en fait à l’origine de cette faille.

Dans son message, Howard montre même le code responsable :

hr = pStream->Read((void*) &cbSize, sizeof(cbSize), NULL) ;
BYTE *pbArray ;
HRESULT hr = SafeArrayAccessData(psa, reinterpret_cast(&pbArray)) ;
hr = pStream->Read((void*)&pbArray, (ULONG)cbSize, NULL) ;

Dans la dernière ligne, il aurait en fait fallu lire

hr = pStream->Read((void*)pbArray, (ULONG)cbSize, NULL) ;

Dans son message de blogue, Howard explique finalement que la compagnie devrait revoir sous peu ses processus de programmation qu’elle mettra également à jour les outils qu’elle utilise pour découvrir ce genre d’erreur.

Jeudi 30 juillet 2009 par Maxime Johnson

(Source :techno.branchez-vous.com)