Dix failles de sécurité découvertes dans Windows XP SP2

Des experts en sécurité ont annoncé le 11 novembre 2004 que des millions de clients de Microsoft étaient sous la menace de dix importantes failles de sécurité découvertes dans le système Windows XP mis à jour avec le Service Pack 2 (SP2). En exploitant toutes ces vulnérabilités dont l’existence a été révélée par la firme de sécurité Finjan, il est possible, « discrètement et à distance », de prendre le contrôle d’un ordinateur lorsque son utilisateur affiche une simple page Web.

Finjan a affirmé que les hackers pouvaient également modifier les zones de sécurité d’Internet Explorer afin d’obtenir les droits d’utilisateurs de la zone locale du navigateur, ce qui permettrait de télécharger à partir d’Internet des programmes autorisés à lire et écrire des fichiers sur le disque dur de l’ordinateur. De plus, toujours selon Finjan, les failles permettraient d’outrepasser le système de notification de Windows XP concernant le téléchargement et le lancement de fichiers « .exe », ce qui rend possible l’exécution d’un programme sur une machine à l’insu de l’utilisateur.

Pas de détails techniques

Le Malicious Code Research Center de Finjan, qui revendique la découverte de ces failles, a fourni à Microsoft tous les détails techniques et a aidé l’éditeur à les colmater. Bien qu’ayant averti les utilisateurs de l’existence de ces vulnérabilités, le centre de recherche s’est refusé à communiquer leurs spécifications techniques avant la sortie des correctifs ad hoc, « afin d’éviter la création [entre-temps[ de virus et de vers ». Shlomo Touboul, PDG et fondateur de Finjan Software, a ajouté : « Windows XP en version SP 2 apporte certaines fonctionnalités de sécurité, mais il demeure fondamentalement le même système d’exploitation avec des failles critiques qui compromettent la sécurité des utilisateurs finaux. »