Prévenu par un employé de la société américaine Client Logic, un expert en sécurité ?” connu sous le pseudonyme de Rain Forest Puppy ?”, vient d’alerter par mail la société Microsoft que le kit optionnel de Windows NT 4 ?” le NT 4.0 Option Kit (NTOK) ?” comportait un problème dû au fichier dvwssr.dll.Imaginons par exemple un serveur sous Windows NT 4 qui utilise le serveur Web Internet IIS de Microsoft et un quelconque composant du NT 4 Option Kit. Admettons que ce serveur héberge deux sites Web appartenant à des individus différents, A et B. Dans le cas normal, des sécurités devraient empêcher A de manipuler les fichiers ASP (Active server pages) de B.
Or, l’expert s’est aperçu que, grâce à un buffer non vérifié contenu dans la dll ” dvwssr.dll “, A pourrait y parvenir, s’il posséde des autorisations pour créer des pages Web sur le serveur.Pour remédier à ce bug, l’éditeur du forum de discussion NTBugtraq, Russ Coopers, conseille donc de détruire la dll incriminée qui, selon lui, n’est utilisée que par le programme Interdev v1.0 (édition de liens brisés sur un site Web). Microsoft a depuis édité un bulletin de sécurité dans lequel il recommande à ses clients de détruire tous les fichiers dvwssr.dll présents sur leurs serveurs.Pour l’anecdote, Rain Forest Puppy a décelé la chaîne de caractères : ” !seineew era sreenigne epacsteN ” dans la dll. Remis en bon ordre, le message se lit : “Netscape engineers are weenies”. Ce qui, en bon français, se traduit par“Les ingénieurs Netscape sont des mauviettes !”. Cette séquence ne serait pas un mot de passe. Il ne s’agit donc pas d’un backdoor, comme la presse américaine en ligne s’en était fait l’écho vendredi dernier, mais uniquement dun bug de plus dans les logiciels de Microsoft.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
