Microsoft colmate une faille avec huit mois de retard
Une vulnérabilité critique touchant tous les systèmes d’exploitation de l’éditeur pourrait donner à des hackers le contrôle total des machines affectées.
L’éditeur Microsoft prévient ses utilisateurs de l’existence d’une faille susceptible de donner à des hackers un « contrôle total » des ordinateurs fonctionnant sous l’un de ses différents systèmes d’exploitation. Le géant des logiciels précise que cette vulnérabilité concerne Windows NT 4.0 , NT Server 4.0 Terminal Server Edition, 2000, XP et Server 2003. Les administrateurs de systèmes sont invités à appliquer le correctif au plus vite.
Cette faille de sécurité réside dans une bibliothèque appelée « Microsoft Abstract Syntax Notation 1 » (ASN 1) se trouvant au coeur du code du système. Selon Microsoft, la vulnérabilité peut être exploitée en utilisant la technique de débordement de mémoire tampon (buffer overflow) et permet d’exécuter du code avec des privilèges d’administrateur. « L’attaquant pourrait alors exécuter n’importe quelle action sur le système, y compris installer des programmes, lire, modifier ou détruire des données ou bien créer de nouveaux comptes d’utilisateurs disposant de tous les privilèges », a indiqué l’éditeur. Microsoft précise néanmoins qu’une telle attaque nécessiterait un accès direct au réseau de l’utilisateur.
La menace pèse plus sur les systèmes serveurs que sur les ordinateurs clients car les premiers sont plus susceptibles d’utiliser un processus décodant les données ASN 1. ASN 1 est un standard utilisé par de nombreuses applications pour permettre la compréhension des données entre diverses plates-formes.
Un retard justifié
Microsoft, qui était informé de cette faille depuis juillet dernier, a justifié son retard par le grand nombre de systèmes d’exploitation concernés : ce long délai aurait été nécessaire pour la mise au point d’un correctif valable pour tous les systèmes. Les nombreuses vulnérabilités des logiciels de l’éditeur l’ont placé sous le feu des critiques. La semaine dernière, Microsoft sortait en urgence un patch destiné à Internet Explorer. Celui-ci colmatait une faille exploitée par les hackers pour détourner les internautes sur des imitations de sites officiels afin de leur soutirer des données personnelles (voir édition du 3 février 2004).