au sommaire
Quarante-huit heures seulement après avoir révélé l'existence d'une faille majeure dans Windows 2000 et son serveur web IIS, MicrosoftMicrosoft est contraint de battre à nouveau le rappel. Cette fois-ci, l'éditeur met en garde contre une vulnérabilité critique elle aussi, mais largement plus répandue !
Et pour cause : elle concerne toutes les versions de son système d'exploitation : Windows 98, 98SE et ME pour la gamme grand public, ainsi que Windows NT 4, NT 4.0 Terminal Server Edition et bien sûr Windows 2000 et XP. L'éditeur ne dit mot des versions pour lesquelles il n'assure plus le support technique, mais il est fort probable que Windows 95 et les anciennes versions de Windows NT soient également concernés.
Autre motif d'inquiétude : la faille est exploitable très simplement. Il suffit au pirate d'inclure un script dans un courrier HTML reçu par Outlook ou dans une page web visitée avec InternetInternet Explorer. Il serait donc aisé de créer un ver capable d'automatiser la procédure. Les auteurs de virus n'ont désormais que l'embarras du choix !
Techniquement, cette nouvelle vulnérabilité est à nouveau un dépassement de mémoire tamponmémoire tampon. Il se terre cette-fois ci dans le Windows Script Engine, une "coquille" chargée de l'exécution de différent langages de scripts au sein de Windows.
La faille concerne plus précisément l'exécution de scripts Jscript (qui n'a rien à voir avec Javascript : il s'agit en fait d'un langage propre à Microsoft, qui a jugé bon d'ajouter des instructions propriétaires au standard ECMAScript). Une fois exploité via un script malicieux, ce dépassement de mémoire tampon permet au pirate d'exécuter le code de son choix sur le système de sa victime, en bénéficiant des droits du compte tombé dans le piège. Microsoft a publié un correctif pour chacune des versions de Windows dont il assure encore le support technique. Il est également possible de se protéger contre cette vulnérabilité en interdisant l'exécution de scripts dans Internet Explorer (ce qui réglera aussi le problème pour Outlook).
Bien sûr, Jscript étant une extension propriétaire de Microsoft, il est aussi possible de tout simplement ne pas utiliser Internet Explorer et Outlook, ce qui aura comme effet secondaire de neutraliser la quasi-totalité des autres attaques de ce type. Enfin, Outlook Express 6.0 et Outlook 2002 sont protégés contre un email ainsi piégé même dans leur configuration par défaut. Pour les autres, il faut installer le Outlook Email Security Update.