Trois importantes vulnérabilités viennent d’être découvertes dans Windows. Bien que Microsoft n’ait encore fait aucun commentaire, un rapide coup d’oeil au détail de ces failles montre qu’elles doivent être prises au sérieux : deux d’entre elles permettent de prendre le contrôle du PC à la simple visualisation d’une image ou en cliquant sur un lien quelconque. Elles peuvent donc être exploitées via un email ou un site web piégé pour installer un parasite.

Le première faille se trouve dans une fonction de traitement des images de Windows (LoadImage). Un dépassement de mémoire permettrait de faire exécuter du code à l’ouverture d’une image vérolée, et donc d’installer un virus ou un logiciel espion. Ce n’est pas la première vulnérabilité à frapper le traitement des images, tant sous Windows que sous Linux.

La seconde faille concerne elle aussi une procédure de décodage, mais cette fois-ci des fichiers au format universel ANI. Elle ne permettrait cependant « que » de faire crasher l’ordinateur. Là aussi ce n’est pas la première fois que ce composant est mis en cause.

Si ces deux premières vulnérabilités touchent tous les Windows à l’exception de Windows XP SP2, la troisième, en revanche, concerne également ce dernier. Il s’agit d’une erreur dans le traitement des fichiers d’aide de Windows (fichiers .hlp). Un dépassement dans la mémoire permettrait là aussi de prendre le contrôle de l’ordinateur. Mais pour cela, il est nécessaire de cliquer volontairement sur un fichier d’aide, ce qui rend son exploitation moins automatique qu’avec un lien ou une image piégée.

Et il ne s’agit pas, comme souvent, de failles théoriques : des exemples d’utilisation de ces vulnérabilités circulent actuellement sur Internet. Ajoutons à cela qu’elles ne sont pas encore corrigées, que durant la période des fêtes les alertes de sécurité (et les correctifs !) sont de toute façon souvent relégués au retour des congés, et nous avons là un cocktail explosif. Il n’est donc pas impossible qu’un parasite exploitant ces vulnérabilités naisse durant les fêtes.

En attendant les correctifs, il serait prudent de ne lire ses courriers qu’en texte brut (c’est une bonne habitude à prendre de toute manière) et regarder où vous mettez votre navigateur !