L’US-CERT a publié jeudi un bulletin afin d’alerter les utilisateurs au sujet d’une vulnérabilité dans la bibliothèque MFC ( Microsoft Foundation Class ), ensemble de classes écrites en C++ et encapsulant une partie des fonctions de l’ API Windows utilisée par les applications pour communiquer avec le système d’exploitation. Sont plus exactement concernés, les composants MFC42 et MFC71 pour une vulnérabilité qui pourrait permettre à un attaquant distant d’exécuter du code arbitraire sur une machine vulnérable.

Découverte par un chercheur en sécurité du nom de Jonathan Sarba ( GoodFellas Security Research Team ), ladite vulnérabilité résulte d’un problème de débordement de tampon présent au niveau de la fonction FindFile() de la classe CFileFind, dans mfc42.dll et mfc42u.dll. Cette fonction ne gère ainsi pas correctement un argument passé en paramètre dont la longueur est excessive, d’où le risque d’exploitation avec l’exécution d’un code malveillant via une application utilisant l’une des deux bibliothèques incriminées.

La vulnérabilité a été confirmée par la société danoise Secunia sur un système Windows XP SP2 à jour. Dans son bulletin d’alerte, Secunia a qualifié la vulnérabilité de moyennement critique soit le niveau 3 sur une échelle de dangerosité graduée jusqu’à 5. L’un des facteurs limitant pour l’exploitation de la faille est le nombre d’applications transformées pour le coup en vecteur d’attaque, qui manipulent les bibliothèques précédemment citées et ont donc accès à la fonction FindFile(). En effet, pour le moment, seulement deux ont été répertoriées, à savoir l’application HP Photo & Imaging Gallery version 1.1 et le programme d’installation de pilotes HP All-in-One Series Web Release version 2.1.0.

Sarba affirme avoir découvert la faille le 14 juin 2007 et en avoir averti Microsoft le 21 juin mais après plusieurs relances dont la dernière en date du 5 septembre, la décision a été prise de rendre publique la vulnérabilité le 14 septembre. Du côté de Redmond, on déclare poursuivre les investigations sur l’éventualité d’une vulnérabilité. La confirmation de Secunia présage cependant du contenu du prochain  » Patch Tuesday  » en espérant qu’entre temps aucune exploitation ne soit à déplorer.