Hier, une vulnérabilité "0-day" pour Internet Explorer concernant une nouvelle fois les ActiveX a été publiée. Elle permettrait d'exécuter du code sur le système d'une machine consultant une page web contenant un appel à l'objet COM DirectAnimation.PathControl et utilisant la méthode KeyFrame.

La publication faite sur http://www.xsec.org/ met à disposition un code qui ne fonctionne que pour la version chinoise de XP SP2 et Internet Explorer 6.0 SP1. Malgré tout, à cette heure ci, l'exploit a été adapté aux autres langues mais aucun d'eux n'a encore été dévoilé publiquement.

Cette faille arrive après toute une série de vulnérabilitées plus ou moins graves qui ont été publiées tout au long du mois de juillet sous l'impulsion de H.D Moore et de son pari de publier une vulnérabilité par jour sur son blog.

A la fin du mois de juillet, il avait mis à disposition son outil de fuzzing aux internautes (tests automatiques à la recherche de vulnérabilités) Axman.
Microsoft a publié un bulletin d'alerte dans lequel il est précisé comment désactiver ce contrôle ActiveX dans la base de registre.

Cette vulnérabilité est répertoriée sous la référence Lexsi 7507 [Abonnes].