Sept bulletins d'alerte, cinq vulnérabilités critiques et un ver potentiel : la première livraison estivale des correctifs de Microsoft est particulièrement riche. Retour sur les failles les plus significatives... et présentation des deux nouvelles !

au sommaire

    Vulnérabilités Windows et Office : patchs critiques à l'ordre du jour

    Vulnérabilités Windows et Office : patchs critiques à l'ordre du jour

    Parmi les sept bulletins d'alerte publiés par MicrosoftMicrosoft pour le mois de juillet, deux axes majeurs sortent du lot : une série de correctifs pour la suite Office, dont certaines failles étaient déjà exploitées durant ces dernières semaines, et une vulnérabilité inédite pour Windows capable de donner naissance à un ver.

    Du côté d'Office d'abord : les premières rustines corrigent plusieurs vulnérabilités critiques pour Excel 2000, qui permettaient de prendre le contrôle du PC à l'ouverture d'une feuille de calcul. Ces dernières étaient déjà mise en oeuvre sur Internet à travers des documents piégés et pouvaient notamment favoriser des attaques ciblées contre des entreprises.

    Les failles pour Office, elles, concernent la mauvaise interprétation de chaînes de caractères à travers de multiples composants de la suite. En clair, il suffit de fournir à Office, d'une manière ou d'une autre, une chaîne de caractères piégée pour prendre le contrôle du PC (à condition que l'utilisateur dispose des droits administrateur, ce qui n'est jamais recommandé).

    On peut certes là aussi imaginer toute sorte de documents piégés afin d'exploiter cette vulnérabilité, mais pas uniquement : la chaîne peut-être fournie par d'autres méthodes, notamment en profitant des processus de communication entre les composants.

    Du côté de Windows, l'alerte phare concerne le service dit Serveur, actif par défaut. Cependant, la vulnérabilité n'est exploitable telle quelle que sous Windows 2000, tandis qu'elle ne l'est pas dans la configuration par défaut de Windows XPWindows XP SP2 et Windows 2003. Pour que ces derniers systèmes soient vulnérables, il faudra qu'une applicationapplication tierce utilise elle-même le service Serveur afin de mettre en oeuvre un système de communication dit des mailslot. Hélas, l'utilisateur non spécialiste a peu de moyens de savoir si c'est le cas ou non sur son PC.

    Cette vulnérabilité permettrait la prise de contrôle automatique du PC via le réseau, et elle se prête donc parfaitement à l'écriture d'un ver. Il faudra cependant, pour que ce dernier soit viable, qu'il trouve suffisamment de PC sous Windows (2000 essentiellement) qui ne soient pas encore protégés derrière un pare-feupare-feu. Ce n'est donc pas tout à fait gagné...

    Enfin, ces rustines du mois corrigent également une faille dans DHCP, qui pourrait être utilisée pour prendre le contrôle à distance des PC situés sur le même segment de réseau. Bien que cela ne concerne guère le grand public, c'est une menace à prendre en compte dans les entreprises ou les établissements scolaires, qui ne disposent pas toujours de réseaux commutés.

    Enfin, joueurs comme le sont les hackers, ils ont attendu la publication des rustines mensuelles pour révéler deux nouvelles failles. La première, exploitable localement seulement, concernerait Word (2000, 2002 et 2003). Elle permettrait de faire crasher Word et, sous certaines conditions, d'exécuter du code à l'ouverture d'un document piégé. Selon son auteur d'autres composants de la suite Office pourraient être concernés.

    La seconde, qui reste à confirmer, concerne Word 2000 : la faille HLINK déjà exploitée dans plusieurs attaques contre Excel, le serait aussi sous Word. Notez tout de même le conditionnel... (Merci à notre confrère Marc Olanié et à la liste Full Disclosure pour cette dernière précision).