Faille critique chez Microsoft : de nombreux logiciels vulnérables Jerome Saiz le 5 septembre 2003 à 20h19, dans la rubrique Menaces Commentaires fermés sur Faille critique chez Microsoft : de nombreux logiciels vulnérables chezcritiquefaillelogicielsmicrosoftnombreuxvulnerables Une faille dans un outil de développement de Microsoft a fragilisé de nombreux produits de l’éditeur. Les risques sont les plus évidents avec la suite Office, où un document piégé pourrait permettre la prise de contrôle des PC. Mais ce sont au total 29 applications qui sont vulnérables. Lorsqu’une faille de sécurité se trouve au coeur d’un outil de développement, le risque est qu’elle se retrouve dans tous les produits ainsi créés. Et c’est justement ce qui vient de se produire avec le kit de développement Microsoft Visual Basic for Applications SDK (versions 5 et 6).Ce kit souffre d’un dépassement de mémoire tampon, qu’il peut transmettre aux applications à qui il donne naissance. Et comme Microsoft l’a utilisé et intégré dans de nombreux produits maison, la vulnérabilité se retrouve désormais largement représentée au catalogue de l’éditeur : de la suite Office complète (Word, Excel, Powerpoint, Access) dans ses éditions 97, 2000 et 2002, jusqu’à la suite Works (2001, 2002, 2003) en passant par Project, Visio (2000 et 2002) et même Publisher (2002), c’est un véritable -et triste- inventaire à la Prévert. Même certains produits de la gamme professionnelle Microsoft Business Solutions sont vulnérables.Concrètement, la faille peut-être exploitée lorsqu’un document spécialement modifié est ouvert. Les macros-commande qu’il contient peuvent alors provoquer le dépassement de mémoire tampon et exécuter dans la foulée n’importe quel code (par exemple, un virus embarqué dans le document sous sa forme hexadécimale et assemblé en temps réel par la commande DEBUG de Windows).Mais les produits de Microsoft ne sont pas forcément les seuls concernés par cette faille. Le kit de développement Visual Basic for Applications peut très bien être utilisé par des éditeurs tiers dans la création de logiciels bureautiques (gestion, paie, stock… souvent basés sur Excel ou Access) ou même servir à l’élaboration d’outils propriétaires au sein de l’entreprise. Toutes ces applications seront alors également à risque… mais il n’est pas certain que leurs éditeurs fournissent un correctif spécifique.Microsoft, de son côté, à publié une série de correctifs destinés à tous les produits vulnérables, y compris le kit de développement lui-même. Il n’est pas exclu que cette faille se retrouve bientôt utilisée par un virus chargé de l’exploiter automatiquement. Vous avez aimé cet article? Cliquez sur le bouton J'AIME ou partagez le avec vos amis! Notez L'article Participez ou lancez la discussion!