Vulnérabilités

Une nouvelle faille majeure pour Windows.

Par Jerome Saiz, le 14 juil 2004 à 17:48:00.

La dernière vulnérabilité en date à frapper Windows pourrait être exploitée pour lancer une nouvelle épidémie d'importance. Correctement présentée elle permettrait aux attaquants de prendre le contrôle complet du PC à l'aide d'une simple page web ou d'un courrier électronique.

La vulnérabilité touche le composant "Shell" de Windows, celui-là même qui a récemment obligé la Fondation Mozilla à en désactiver le support dans ses navigateurs libres.
Cette fois-ci, le Shell (habituellement chargé d'exécuter des commandes au sein de Windows) pourrait être abusé par une page web ou un email et forcé à exécuter un programme quelconque fourni par l'attaquant.
La faille est exploitable car ce Shell accepte comme nom de commande a exécuter une référence à un objet COM. Celui-ci peut être à peu près n'importe quoi et surtout il peut être offert par l'attaquant, caché dans une page web ou sous la forme d'une pièce jointe. Dans ce dernier cas il n'est pas nécessaire de double-cliquer sur cette pièce jointe : un simple clic sur le lien truqué lancera la pièce jointe.

Concrètement, il suffit donc à l'internaute de cliquer sur un lien déguisé (présenté sur une page web ou dans le texte d'un email HTML), pour être piégé. Cela provoquerait alors l'exécution du programme malicieux sur son PC avec les mêmes droits que ceux de son compte (d'où la nécessité de ne jamais travailler à partir d'un compte administrateur).
Microsoft a publié un correctif qu'il est vivement conseillé d'appliquer.

Plus d'information

L'alerte de Microsoft (en anglais)
La description de la faille (en français)

Une nouvelle faille incroyable pour Windows XP. (20 déc 2002)
Cinq nouvelles failles graves pour Windows. (16 oct 2003)
Une faille majeure pour Windows 2000 et IIS. (18 mars 2003)
Le ver Sasser, nouvelle menace majeure pour Windows. (02 mai 2004)
Zero day, alerte majeure sur Windows (30 déc 2005)

Cartes blanches

IAM : dépenser moins pour gagner plus Bruno Vincent Une phrase d'Eric Domage, d'IDC, interpelait récemment décideurs et acteurs du marché sur l'importance des coûts et le peu de ROI découlant des projets d'IAM. Bruno Vincent nuance voire réfute en partie, ces propos.	Organisation et sécurité: en finir avec le cloisonnement ! Bruno Vincent DSI,RSSI et Métiers ont encore du mal à collaborer efficacement. Pourtant, l'organisation s'avère être, une fois de plus, la pierre angulaire d'un Système d'Information sûr et aux coûts maîtrisés.
Les RSSI du monde bancaire à l'aube d'une vague de démissions ? Monsieur RSSI Rien ne semble changer en matière de risques et sécurité dans le monde bancaire. Constat désabusé et inquiet d'un RSSI du secteur.	Rififi en vue chez les identités Bruno Vincent Alors qu'OpenID attise l'intérêt des géants de l'informatique, l'acquisition de Credentica par Microsoft laisse augurer d'une possible guerre des « standards » en matière de gestion des identités sur le Web.
>> Plus de Cartes Blanches

Les dossiers Les thématiques

Quel socle de connaissances pour le RSSI ?Les services managés de sécurité à l’age adulte Les botnets se mettent au Web 2.0 Antivirus : la révolution in the cloud

Gestion des Identités et des Accès Les Assises de la Sécurité 2008 Les Interviews Vidéo Prévention des fuites de données (DLP)Virtualisation

espace partenaires

Livres Blancs

Guides

Le Guide Sécurité & Stockage 2009, c'est 290 pages consacrées au marché et à ses acteurs, et 300 entreprises référencées.

Espace membres