Microsoft signale un grave défaut de FrontPage

Microsoft a averti les administrateurs système qu’un nouveau problème de sécurité touchait les extensions serveurs de son application FrontPage. Un défaut assez grave puisqu’il permet à un pirate de faire exécuter par la machine des programmes non prévus ou même de lancer une attaque incapacitante de type DoS (Denial of Service). Dans un communiqué, le géant du logiciel indique que la vulnérabilité affecte l’interpréteur SmartHTML qui contrôle les formulaires web. Il s’agit d’une fonction incluse dans les extensions serveurs de FrontPage 2000 et 2002.

Dans la version 2000, une requête ne respectant pas le format attendu par le serveur pourrait avoir l’effet d’une attaque DoS, mobilisant quasiment toutes les ressources de la machine. Dans la version plus récente, FrontPage 2002, le défaut permet de créer un buffer overrun (dépassement de la mémoire tampon) et à un attaquant de faire exécuter n’importe quel code sur la machine.

Différents degrés de dangerosité

Ainsi que l’indique le communiqué : « Une requête pour un certain type de fichier web, effectuée d’une certaine façon, peut entraîner l’interpréteur SmartHTML dans une boucle sans fin qui consommera toute la puissance disponible et empêchera le serveur de faire quoi que ce soit d’autre ». Microsoft qualifie ce bogue de « critique » pour les serveurs Internet, de « modéré » pour les serveurs intranet et de « sans danger » pour les machines clientes, que ces dernières soient connectées au travers du Web ou reliées par réseau local.

L’éditeur conseille d’appliquer le correctif, téléchargeable ici, ou de s’assurer que l’interpréteur SmartHTML n’est pas actif sur le serveur en se servant de l’outil ‘LockDown’ de Microsoft, une application de sécurisation qui désactive la plupart des fonctions dangereuses de l’Internet Information Server (IIS).

Traduit et adapté d’un article paru sur