Intrapole
VOUS  TES ICI : Accueil » Intrapole » Actualité »

Gigantesque faille dans Windows

Publié le mercredi 24 février 2010 par Stéphane Larcher

Selon nos confrères de SC Magazine qui publient cette information en exclusivité, il subsisterait une énorme faille dans les systèmes d’exploitation Windows qui affecterait les versions serveur et client du système depuis Windows 2000 (Windows NT 4.0 et antérieurs ne seraient pas impactés).

Les ingénieurs de 2X Software qui auraient identifié la faille (plus exactement le gouffre) indiquent que l’exécution de quelques lignes de code très simples, parfaitement légales, sans astuces particulières, suffirait à planter totalement le système d’exploitation et provoquer l’apparition du fameux Ecran Bleu de la Mort ( BSOD / Blue Screen Of Death) redouté par tous les administrateurs système.

De fait, l’exécution de ces fameuses lignes de code peuvent être intégrées dans un simple script ActiveX ou une application. En conséquence, des millions de machines sont potentiellement à la merci d’une attaque en Déni de Service si, d’aventure, la séquence découverte par 2X Software était connue de pirates. Il est donc vivement recommandé de ne pas exécuter d’applications ou de contrôles dont on ne connait pas précisément la provenance.

Selon les ingénieurs de 2X Software, cette vulnérabilité remonte à la conception des systèmes Windows 2000 et suivants et a donc une dizaine d’années et couvre aujourd’hui toutes les versions de Windows depuis cette date, y compris les versions 64 bits. Il semble qu’elle n’ait été ni découverte ni exploitée jusqu’à maintenant. 2X Software précise également que le fait de configurer les machines en mode utilisateur sans droit d’administration ne change rien.
Paul Gafa, Chief Technical Officer de 2X Software, a indiqué à nos confrères de SC Magazine que Microsoft avait d’ores et déjà été informé de la faille et qu’il espérait donc que celle-ci serait corrigée très rapidement sachant que plusieurs dizaines de millions de machines sont susceptibles d’être affectées.

L’exploit, c’est-à-dire la fameuse séquence de code permettant de tirer profit de la faille, n’a, à notre connaissance et pour le moment, pas été dévoilée. C’est heureux.

Source : linformaticien