Windows : une vulnérabilité vieille de 19 ans

Le par Jérôme G.  |  15 commentaire(s)
Microsoft Windows 95

Présente dans le code de Windows depuis 19 ans et exploitable à distance depuis 18 ans. Microsoft a corrigé une vulnérabilité affectant toutes les versions de Windows à partir de Windows 95.

Affectant l'interpréteur en ligne de commande Bash présent sur les systèmes Linux, UNIX et OS X, la vulnérabilité baptisée Shellshock existait depuis au moins 20 ans avant sa découverte. Une vulnérabilité dans Windows était presqu'aussi ancienne.

Dans le cadre de son Patch Tuesday de novembre, Microsoft a diffusé une mise à jour critique MS14-064 venant combler de manière plus complète une vulnérabilité exploitée dans l'attaque SandWorm. Cette mise à jour pour Windows a également corrigé un autre bug quand Internet Explorer n'accède pas correctement aux objets en mémoire.

Microsoft Windows 95Il s'avère que cette deuxième faille découverte par les chercheurs en sécurité d'IBM (IBM X-Force Research) était âgée de 19 ans et exploitable à distance depuis 18 ans. De quoi couvrir tous les Windows à partir de Windows 95.

Cette vieille vulnérabilité était présente dans le fichier OleAut32 en référence aux objets OLE (Object Linking and Embedding). Une bibliothèque logicielle qui a pourtant connu plusieurs patchs au fil des années.

C'est avec l'intégration de VBScript dans Internet Explorer (depuis IE 3.0) que ce navigateur est devenu un possible vecteur d'attaque pour une exploitation à distance. Le risque existe également avec des fichiers Office contenant des macros.

IBM X-Force écrit que le bug peut être exploité pour attaques drive-by (sans l'intervention de la victime) afin d'exécuter du code à distance et prendre le contrôle de la machine d'un utilisateur pris pour cible. Même la protection sandbox dans IE11 et l'outil anti-exploitation EMET (Enhanced Mitigation Experience Toolkit) sont pris à défaut.

Ladite vulnérabilité a été rapportée de manière confidentielle à Microsoft en mai 2014. IBM X-Force Research n'a trouvé aucune preuve d'une exploitation active. Maintenant que la vulnérabilité a été dévoilée, il va sans dire que la situation est différente et l'application de la mise à jour MS14-064 est d'autant plus recommandée.

Une correction à laquelle n'aura pas droit Windows XP dont le support à pris fin en début d'année.

  • Partager ce contenu :
Cette page peut contenir des liens affiliés. Si vous achetez un produit depuis ces liens, le site marchand nous reversera une commission sans que cela n'impacte en rien le montant de votre achat. En savoir plus.
Complément d'information

Vos commentaires Page 1 / 2

Trier par : date / pertinence
Raphael_malin offline Hors ligne Vétéran avatar 1681 points
Le #1817169
et mon windows 98?? snif
Ulysse2K offline Hors ligne VIP icone 50663 points
Le #1817170
Demain Ulysse ... Tu reviendras demain
lebonga away Absent VIP avatar 33560 points
Le #1817171
Des vrais pros, j'vous dis !!!!
Lebubu offline Hors ligne Vénéré icone 3216 points
Le #1817175
Ulysse2K a écrit :

Demain Ulysse ... Tu reviendras demain



PauletteParis offline Hors ligne VIP icone 7951 points
Le #1817178
Il y a quand même une bonne nouvelle, Windows 3.11 n'est pas touché
Anonyme
Le #1817184
Oh, oh ....
Microsoft nous sort du bon, du gros, énormissime ....
Anonyme
Le #1817185
Une petite cerise sur le gâteau " Microsoft "

« Deux choses sont infinies : l’Univers et la bêtise humaine. Mais, en ce qui concerne l’Univers, je n’en ai pas encore acquis la certitude absolue. »

Albert Einstein (1879 - 1955)

PauletteParis offline Hors ligne VIP icone 7951 points
Le #1817195
DeepBlueOcean a écrit :

Une petite cerise sur le gâteau " Microsoft "

« Deux choses sont infinies : l’Univers et la bêtise humaine. Mais, en ce qui concerne l’Univers, je n’en ai pas encore acquis la certitude absolue. »

Charles Darwin (1809-1882)


Tu fais comme tu veux, mais à ma connaissance c'est de Albert Einstein

Kyll offline Hors ligne Vétéran avatar 2371 points
Le #1817196
Donc concrètement c'est IE/Offuck et non Windows?
Anonyme
Le #1817199
PauletteParis a écrit :

DeepBlueOcean a écrit :

Une petite cerise sur le gâteau " Microsoft "

« Deux choses sont infinies : l’Univers et la bêtise humaine. Mais, en ce qui concerne l’Univers, je n’en ai pas encore acquis la certitude absolue. »

Charles Darwin (1809-1882)


Tu fais comme tu veux, mais à ma connaissance c'est de Albert Einstein



J'ai rectifié ....
désolé, mais j'étais également sur des recherches sur l'autre célébrité
icone Suivre les commentaires
Poster un commentaire