Vulnérabilités dans les anti-virus en ligne
Date : 22 Juin 2005
Aujourd’hui, la plupart des éditeurs d’anti-virus proposent sur leurs sites web des outils "en ligne" gratuits, permettant aux internautes de scanner leur système afin d’y rechercher des virus, vers, et autres codes malicieux. Ces outils se présentent généralement sous la forme de contrôles ActiveX, qui sont téléchargés lors de la première analyse, est qui représente en quelque sorte le moteur d’analyse de l’anti-virus.
Ensuite, à chaque fois que l’utilisateur désire effectuer une analyse de son système, il se connecte via son navigateur sur le site de l’éditeur d’anti-virus, puis se rend à la page dédiée à l’anti-virus en ligne. Lorsque l’utilisateur lance l’analyse via un lien ou un bouton, cette dernière fait appel au contrôle ActiveX présent sur le système de l’utilisateur (avec une base de signatures à jour) pour effectuer son travail.
Ce mois-ci, deux anti-virus en ligne, "Housecall" de TrendMicro et "Symantec Security Check" de Symantec, ont été recensés comme comportant une vulnérabilité majeure. En effet, les contrôles ActiveX utilisés par ces deux produits sont vulnérables à un débordement de pile. Ce problème permet à un site web malicieux de faire appel à ces contrôles ActiveX afin d’exécuter des actions malicieuses sur le système avec les privilèges de l’utilisateur connecté.
Le Cert-IST n’a pas émis d’avis sur ce problème car il considère que l’utilisation de ce type d’outil correspond à des besoins d’utilisateurs "privés" ("home user").
Pour plus d’information :
- Avis de Symantec : http://www.symantec.com/avcenter/security/Content/2003.06.25.html
- Avis de TrendMicro : http://kb.trendmicro.com/solutions/solutionDetail.asp?solutionID=15274
- Information de Secuser : http://www.secuser.com/communiques/2003/030714_housecall.htm