Trou de sécurité dans Access

Un nouveau trou de sécurité lié aux systèmes Microsoft Windows 95, 98 2000 et NT 4.0 a été découvert par le System Administration Networking and Security Institute (SANS), un groupe coopératif de recherche et d'éducation. Cette faille autorisera une personne mal intentionnée à prendre le contrôle d'un ordinateur en envoyant un simple message électronique, sans même un fichier attaché. Elle touche tous les utilisateurs des systèmes Microsoft associés aux logiciels Access 97 et 2000 ainsi qu'Internet Explorer dans ses versions 4.0 et supérieures.

Une fois de plus, ce sont les controle ActiveX qui sont en cause. Ainsi, il serait possible d'intégrer du code Visual Basic dans un fichier Access qui sera automatiquement ouvert par Internet Explorer, pour prendre le contrôle des machines des internautes qui visitent un site web, ou de celles des internautes qui reçoivent la page web par email. De plus, la victime ne voit pas ce qui se passe. Il faut noter que la fonction de prévisualisation active elle aussi le script.

Microsoft a publié une méthode pour résoudre ce problème sur son site web. L'éditeur a de plus écrit des correctifs pour deux autres trous de sécurité dans Excel et Powerpoint 97. Ce bug aurait été découvert par le chasseur de bug Bulgare Georgi Guninski, à la fin du mois de juin, mais n'a pas fait l'objet, à la demande de Microsoft, d'une publication détaillée avant que l'éditeur n'ait mis au point un correctif. [Ludovic Blin, JDnet]