Logo Microsoft Pro Parmi les mécanismes de protection sous-jacents de Windows 7 ( mais pas uniquement cet OS ), on trouve ASLR et DEP. Address Space Layout Randomization aide à empêcher les attaquants à avoir accès à des adresses mémoire connues ( prédites ) pour les utiliser dans des dépassements de tampon, tandis que Data Execution Prevention aide à déjouer des attaques en empêchant du code malveillant d'être exécuté dans la mémoire non-exécutable.

C'est ce qu'a rappelé la semaine dernière Pete LePage, un responsable produit de la division Internet Explorer chez Microsoft. Ces rappels sont intervenus peu après les résultats de la première journée du concours Pwn2Own avec deux chercheurs en sécurité informatique qui ont contourné ASLR et DEP sous Windows 7 afin d'exploiter une vulnérabilité IE8 et Firefox 3.6 pour prendre le contrôle d'un ordinateur.

C'est ainsi pour Microsoft l'occasion d'apporter quelques précisions en indiquant que DEP et ASLR continuent d'être des mécanismes de protection " hautement efficaces ". De telles technologies " ne sont pas conçues pour empêcher toute attaque à jamais, mais plutôt pour rendre beaucoup plus difficile l'exploitation d'une vulnérabilité ".

Comme l'a reconnu récemment le responsable sécurité de Microsoft France, ce domaine de la sécurité est l'école de l'humilité, et nul mécanisme de protection ne paraît inviolable.