Découverte de 3 failles sérieuses sous Windows

Microsoft a du pain sur la planche pour son prochain bulletin de sécurité mensuel

La fin d’année s’annonce difficile pour les ingénieurs de Microsoft. Différents experts en sécurité viennent de mettre à jour pas moins de trois vulnérabilités non patchées impactant le système d’exploitation Windows. Deux d’entre elles permettent de prendre le contrôle du PC à la simple visualisation d’une image ou en cliquant sur un lien quelconque. Elles peuvent donc être exploitées via un email ou un site web malicieux pour installer un virus, un cheval de Troie… Ces failles ont été découvertes par le groupe chinois XFocus, composé de chercheurs en sécurité. La première vulnérabilité est qualifiée de « Critique » par K-OTik Security et concerne toutes les versions de Windows (sauf XP Service Pack 2 dans deux d’entre-elles). Elle peut permettre la compromission d’une machine distante. Cette première vulnérabilité résulte d’une erreur présente au niveau de l’API LoadImage (USER32.lib) -fonction de traitement des images de Windows- qui ne vérifie par correctement le champ « size » (taille) des fichiers BMP, CUR, ICO ou ANI, ce qui pourrait permettre l’exécution de commandes arbitraires distantes via une page HTML ou un e-mail pointant vers une image forgée, explique k-otik. Cette vulnérabilité concerne une librairie Windows, et impacte donc tous les logiciels utilisant cette librairie (y compris des navigateurs tiers ou des clients de courrier électronique). La seconde faille nécessite une interaction de la part de l’utilisateur. Elle résulte d’une erreur présente au niveau de « winhlp32.exe » qui ne gère pas correctement les fichiers « .hlp ». Un dépassement dans la mémoire permettrait là aussi de prendre le contrôle de l’ordinateur. Toutes les versions de Windows, y compris XP SP2 sont impactées. Pour être exploitée (exécution de commandes arbitraires) il faut inciter l’utilisateur à ouvrir un fichier d’aide malicieux. Le dernier problème découvert par l’équipe chinoise est de type « Déni de Service » se situe au niveau de la librairie chargée du traitement des fichiers ANI (curseurs animés) qui ne gère pas correctement les entêtes contenant un numéro de trame égal à « 0 ». K-otik explique que la vulnérabilité pourrait être exploité via un page HTML malicieuse afin de provoquer le plantage du système touché (le risque actuel est qualifié de « Moyen »). Non corrigées, ces failles peuvent donner naissance à une belle attaque virale dévastatrice. D’autant plus que des exemples d’utilisation de ces vulnérabilités circulent actuellement sur Internet.