La boucle infinie qui fait ‘planter’ Windows
Une équipe de Telia Telecom assure avoir trouvé un bogue, présent dans toutes les versions de Windows, qui fragiliserait la sécurité du système et pourrait entraîner des « crashs » de Windows. Selon l’équipe, cette adresse Internet « en boucle infinie » (URL infinite loophole) peut être utilisée pour épuiser les ressources du système jusqu’au crash ou à l’apparition du trop fameux écran bleu de Windows.
Klaus Dhilm, de la division Sécurité de Telia Telecom, explique : « Dans Windows, créer un raccourci Internet est une tâche plutôt aisée, pour des raisons évidentes. Seulement, si jamais on crée un raccourci récursif, c’est-à-dire faisant référence à lui-même, les ressources système vont s’épuiser petit à petit. » Les effets de cette boucle infinie sont identiques à ceux d’une attaque incapacitante (Denial of Service attack ou DoS), le système ne pouvant plus répondre aux sollicitation de l’utilisateur, jusqu’à ce qu’il « plante ». Et, selon Klaus Dhilm, ce bogue peut également être exploité par l’intermédiaire d’un e-mail au format HTML ou d’une visite sur un site contenant une adresse URL spécifique.
Un problème bien plus grave que Microsoft ne voudra l’admettre
Et d’ajouter : « Puisque ce bogue peut être utilisé à partir de n’importe quel site Internet, il s’agit d’un problème largement plus complexe que ce que Microsoft voudra bien admettre. Un attaquant peut facilement lancer une DoS contre des logiciels de courrier électronique sous Windows ou se lancer dans une campagne d’inondation de mails ».
Scott Culp, un des porte-paroles de Microsoft, a refusé de considérer ce petit problème comme une vulnérabilité dans la sécurité du système. Bien qu’il ait reconnu qu’il puisse être utilisé pour faire planter un butineur Internet ou même la machine, il a également insisté sur le fait qu’un simple redémarrage mettait fin au problème, à moins que l’utilisateur ne retourne sur la même page Web ou consulte de nouveau le même e-mail malveillant. Et de répondre à l’équipe de Telia Telecom : « Ce que vous avez trouvé est un bogue mais pas une brèche dans la sécurité. Notre équipe de développement a d’ores et déjà isolé la cause du bogue et développé un correctif, que nous inclurons dans le prochain Service Pack. »