Vraies failles ou gros coup de publicité ? Après avoir annoncé la découverte de deux vulnérabilités dans le Service Pack 2 de Microsoft, la firme Russe Positive Technologies a publié son propre correctif, une pratique rare et généralement peu populaire. L'éditeur, lui, minimise l'impact des vulnérabilités et affirme qu'elles seront de toute façon corrigées prochainement par un patch, officiel celui-ci.

au sommaire

    Polémique autour des failles du SP2 de Windows XP

    Polémique autour des failles du SP2 de Windows XP

    La société Russe Positive Technologies affirme avoir découvert deux vulnérabilités dans le Service PackPack 2 de MicrosoftMicrosoft. Elles permettraient de contourner la protection contre l'exécution de code malicieux mise en oeuvre par le SP2 (Heap Protection et DEP, data execution prevention).

    Ces deux technologies sont au coeur de la sécurité de Windows XPWindows XP et bien sûr l'annonce de la découverte d'un moyen de les neutraliser a lancé une belle polémique. Positive Technologies estime qu'il s'agit là de failles majeures et que la communauté pirate serait déjà entrain de travailler à leur exploitation.

    Pour sa part Microsoft ne nie pas les vulnérabilités mais reproche avant tout la précipitation de leur publication. Positive Technologies a en effet dévoilé le détail des failles tout juste un mois après avoir prévenu l'éditeur, alors que le délai de grâce habituellement concédé est de trois mois.

    Mais s'il ne nie pas leur existence, Microsoft minimise cependant l'impact de ces vulnérabilités : certes, elles pourraient permettre d'exécuter du code via un dépassement de mémoire tampon alors que cela est censé être plus difficile sous Windows XP SP2. Mais encore faut-il que ce code puisse être déposé sur le PC.

    Ces failles ne sont donc pas exploitables telles quelles. Elle doivent être combinées avec un vecteur d'attaque pour arriver sur le PC : une vulnérabilité accessible à distance par exemple, ou une faille locale sur un service démarré par l'administrateur. Or rien dans l'alerte ne permet de venir déposer du code sur un PC correctement mis à jour et protégé derrière un pare-feupare-feu. Microsoft estime donc avoir le temps de voir venir et affirme être entrain d'analyser le rapport de Positive Technologies. Un correctif officiel pourrait être publié soit au cours d'une prochaine livraison mensuelle, soit dans le cadre d'un nouveau Service Pack.

    Peu satisfaite de ces déclarations -et manifestement avide de publicité-, la firme Russe a publié un outil chargé de neutraliser les failles. Prudence toutefois : personne ne l'a encore vraiment testé. L'applicationapplication de correctifs non officiels est un jeu dangereux. Plutôt que se livrer à cette roulette (Russe, bien sûr), mieux vaut donc attendre le correctif officiel de Microsoft. En tout cas tant que la faille n'est pas activement exploitée d'une manière ou d'une autre.