au sommaire
Faille critique non corrigée pour Windows
C'est ce que l'on appelle un "0day" : une vulnérabilité pour laquelle un code d'exploitation est diffusé avant que l'éditeur n'ait eu le temps de publier le correctif ad-hoc.
Une fois n'est pas coutume, c'est Internet Explorer qui est le dindon de la farce. En faisant "crasher" une librairie particulière à travers le navigateur (en visitant par exemple une page web piégée), un pirate serait alors en mesure d'exécuter le code de son choix sur le PC de sa victime. L'attaque a été confirmée sur Windows XPWindows XP SP2 entièrement à jour de ses correctifs, ce qui en fait une menace particulièrement sérieuse.
La librairie en question s'appelle msdds.dll (MicrosoftMicrosoft DDS Library Shape Control). Elle n'a jamais été prévue pour être appelée depuis Internet Explorer, et c'est là que se situe la faille : en forçant le navigateur à l'appeler comme s'il s'agissait d'un composant ActiveXActiveX (depuis une page web, donc) il est possible de la faire crasher d'une manière qui soit exploitable par un pirate.
Il faut cependant noter que cette librairie n'est pas installée par défaut dans Windows, mais elle est tout de même très courante. Elle s'installe notamment avec Microsoft OfficeMicrosoft Office (XP et Professional 2003) et Visual Studio (2002 et 2003). Un PC dénué de ces logiciels est donc immunisé à cette vulnérabilité.
Pour les autres cependant, la faille n'a rien de théorique : un code d'exploitation en langage Perl a été diffusé sur le web. Une fois exécuté, il ouvre un interpréteur de commande au port 28876 et offre ainsi le contrôle de la machine à n'importe qui. Avec un tel exemple entre les mains, de nombreux groupes d'escrocs pourraient bientôt tenter de pirater un maximum de sites web afin de les utiliser pour diffuser spywaresspywares, adwaresadwares et autres gâteries. Ce type d'attaque a déjà été menée avec succès et repose justement sur une faille de ce type du côté d'Internet Explorer.
Il semblerait cependant que toutes les versions de la DLL msdds.dll ne soient pas égales face à l'attaque et le code d'exploitation ne fonctionnerait qu'avec certaines d'entre elles. Ainsi la version 7.0.6064.9112 serait vulnérable mais pas la 7.10.3077.0. Pire : Office XP installerait bien la librairie vulnérable, mais d'une manière qui la rendrait plus difficile à exploiter !
Au milieu de tout ce tohu bohu Microsoft n'a encore publié aucun correctif. Tout juste une note dans laquelle l'éditeur affirme être en train de déterminer le niveau de gravitégravité de l'affaire. Dans le texte, l'exécution de code n'est encore qu'une possibilité et seul le crash d'Internet Explorer est reconnu. Bref, Microsoft est à la traîne et se plaint de ne pas avoir été prévenu à l'avance.
En attendant le correctif ad-hoc, la protection la plus simple consiste à changer de navigateur ou à désactiver l'exécution des contrôles ActiveX dans Internet Explorer. Après tout, les millions d'utilisateurs de Firefox surfent très bien sans cette technologie pour l'essentiel inutile et dangereuse.
Et pour ceux qui tiennent vraiment à s'encombrer d'ActiveX, Microsoft propose dans son alerte une série de mesures provisoires afin de limiter l'impact de cette vulnérabilité. Enfin, il est également possible de télécharger un petit utilitaireutilitaire sur le site de l'Internet Storm CenterInternet Storm Center, qui se chargera de neutraliser la librairie vulnérable si elle se trouve sur votre système.