Windows 2000 pourrait souffrir d'une faille grave...
Vous vous souvenez sans doute de l'effervescence que le passage à l'an 2000 avait provoqué dans le milieu de l'informatique: beaucoup de gens craignait que les horloges internes des ordinateurs, conçues à l'origine pour afficher l'année courante sur deux chiffres, vivent mal le changement de date au soir du 31 décembre 1999, et ramène le monde au début du vingtième siècle le lendemain matin.
Il semblerait que Microsoft Windows 2000 soit également victime d'un bug (ou bogue, comme on voudra), qui n'a, précisons-le tout de suite, rien à voir avec celui que tout le monde redoutait à tort voici un peu plus de cinq ans; le problème dont il est question ici est bien réel, et semble inquiéter Microsoft.
A l'origine de ce souci, la manière dont une DLL (Dynamic Link Library; bibliothèque de liens dynamiques) valide certains documents au format 'metadata'. Dévoilée cette semaine par la firme de sécurité GreyMagic, cette faille pourrait être exploitée à l'aide d'un fichier piégé qui, ouvert dans l'Explorateur Windows, pourrait éxécuter sur le PC infecté toutes sortes de scripts malicieux.
Dans sa notification, GreyMagic indique que "des scripts de commande injectés de cette manière s'exécuteront dès que le fichier infecté est sélectionné dans l'Explorateur Windows, c'est-à-dire dans un environnement de confiance, puisque sous la responsabilité de l'utilisateur; cela implique la lecture, l'effacement ou la réécriture de n'importe quel fichier, mais aussi la création de commandes arbitraires".
Microsoft a reconnu enquêter sur cette faille, déclarant comme d'habitude n'avoir connaissance d'aucun problème rencontré par des clients dans ce contexte, et s'est ému de la publication par GreyMagic du code prouvant la réalisation de l'exploit résultant de cette faille.
La firme de Redmond souligne qu'un implication directe de l'utilisateur est requise pour que cette faille soit exploitée, ajoutant qu'il est souhaitable de bloquer les communications SMB (Server Message Block) au niveau du pare-feu installé sur le PC, qu'il soit celui de Windows ou une application tierce.
Aucun correctif n'existe pour l'instant, mais en renonçant à ouvrir des liens Internet via l'Explorateur Windows, l'utilisateur se mettrait à l'abri d'une infection. Microsoft annonce toutefois plancher sur une parade.
Cette faille affecte Windows 2000 Professionnel, Windows 2000 Server et Windows 2000 Advanced Server. La DLL incriminée, webvw.dll, sert à pré-visualiser le contenu des fichiers dans l'Explorateur Windows, une fonction activée par défaut sous Windows 2000.
La faille conduirait à la validation d'office de n'importe quel script comme s'il s'agissait du souhait de l'utilisateur, aboutissant à l'injection de commandes arbitraires dans les champs metadata d'un document, avant que la webvw.dll ne l'enregistre. Toutes les applications se reposant sur cette DLL pour leur fonctionnement seraient à leur tour affectées.
Le seul fait de SELECTIONNER le fichier incriminé suffit à lancer le script malicieux; il n'est pas utile de double-cliquer dessus ou de l'ouvrir d'une quelconque autre manière.
GreyMagic affirme avoir notifié à Microsoft l'existence de cette faille le 18 janvier 2005.
