Microsoft lance une alerte sur une vulnérabilité ANI sous Windows

Yves Grandontagne,

Des hackers exploitent activement une vulnérabilité ‘zero day’ qui leur
permet de prendre le contrôle total des systèmes Windows. Un patch existe, mais
il n’a rien d’officiel !

Histoire d’un bug en mal de correction

eEye corrige le bug dans les curseurs animés de Windows et bloque la vulnérabilité ‘zero-day’ qui menace Outlook. Particularité de la correction, elle n’a rien d’officielle?

Première étape, l’éditeur McAfee a le premier signalé mercredi dernier la présence d’un bug dans les fichiers Animated Cursor, utilisés pour créer sous Windows des curseurs animés, qui aurait été utilisé dans des attaques Web.

Le premier, vraiment ? Un éditeur de sécurité, Determina, affirme avoir déjà signalé le problème à Microsoft en décembre dernier? En réalité, Microsoft aurait depuis longtemps corrigé une faille (MS05-002) proche de celle qui a été révélée par McAfee, mais le patch, toujours dixit Determina, aurait été incomplet.

Une information confirmée par un autre éditeur de sécurité, eEye, qui quant à lui précise que la première faille a été découverte par ses experts et corrigée en 2005, il y a deux ans donc. Mais qu’à cette occasion, le correctif MS05-002 suscité a bien oublié une partie de la faille.

Microsoft de son côté a reconnu la faille, et indiqué qu’elle ne concerne pas Outlook 2007. En revanche, les versions précédentes d’Outlook, et en particulier Outlook Express sont vulnérables. Il conseille d’ailleurs ne n’ouvrir les e-mails qu’en mode texte?

Il a également indiqué qu’il pourrait ‘éventuellement’ corriger le problème. Mais il n’a donné aucune indication quant à la publication d’un correctif à Animated Cursor? Le 10 avril, prochain ‘Patch Tuesday’ ?

En fait, lorsqu’une faille concerne des développements dont il n’a pas la responsabilité, l’éditeur renvoie logiquement vers les tiers auteurs de l’erreur pour réviser leurs produits.

Sauf que dans ce cas, et ce n’est pas la première fois, la correction est venue de l’extérieur, via un patch proposé par eEye Security. Et qui n’a rien d’officiel ! Et sauf qu’ici il y a urgence, car le code permettant d’exploiter la faille a été publié sur plusieurs sites ‘underground’, dont deux chinois…