Une faille dans un outil de développement de Microsoft a fragilisé de nombreux produits de l'éditeur. Les risques sont les plus évidents avec la suite Office, où un document piégé pourrait permettre la prise de contrôle des PC. Mais ce sont au total 29 applications qui sont vulnérables.
au sommaire
Faille critique chez Microsoft : de nombreux logiciels vulnérables
Lorsqu'une faille de sécurité se trouve au coeur d'un outil de développement, le risque est qu'elle se retrouve dans tous les produits ainsi créés. Et c'est justement ce qui vient de se produire avec le kit de développement MicrosoftMicrosoft Visual Basic for ApplicationsApplications SDK (versions 5 et 6).
Ce kit souffre d'un dépassement de mémoire tampon, qu'il peut transmettre aux applications à qui il donne naissance. Et comme Microsoft l'a utilisé et intégré dans de nombreux produits maison, la vulnérabilité se retrouve désormais largement représentée au catalogue de l'éditeur : de la suite Office complète (Word, Excel, Powerpoint, Access) dans ses éditions 97, 2000 et 2002, jusqu'à la suite Works (2001, 2002, 2003) en passant par Project, Visio (2000 et 2002) et même Publisher (2002), c'est un véritable -et triste- inventaire à la Prévert. Même certains produits de la gamme professionnelle Microsoft Business Solutions sont vulnérables.
Concrètement, la faille peut-être exploitée lorsqu'un document spécialement modifié est ouvert. Les macros-commande qu'il contient peuvent alors provoquer le dépassement de mémoire tampon et exécuter dans la foulée n'importe quel code (par exemple, un virus embarqué dans le document sous sa forme hexadécimale et assemblé en temps réel par la commande DEBUG de Windows).
Mais les produits de Microsoft ne sont pas forcément les seuls concernés par cette faille. Le kit de développement Visual Basic for Applications peut très bien être utilisé par des éditeurs tiers dans la création de logiciels bureautiquesbureautiques (gestion, paie, stock... souvent basés sur Excel ou Access) ou même servir à l'élaboration d'outils propriétaires au sein de l'entreprise. Toutes ces applications seront alors également à risque... mais il n'est pas certain que leurs éditeurs fournissent un correctif spécifique.
Microsoft, de son côté, à publié une série de correctifs destinés à tous les produits vulnérables, y compris le kit de développement lui-même. Il n'est pas exclu que cette faille se retrouve bientôt utilisée par un virus chargé de l'exploiter automatiquement.
Plus d'informations : L'alerte de Microsoft et les correctifs.