Alerte générale sur les plateformes Windows. En mai dernier, le chercheur en sécurité Lucas Leong de Trend Micro a découvert une faille dans la gestion des index dans les bases de données Jet Database, une technologie Microsoft intégrée dans toutes les versions de Windows. Ce bug permet à un attaquant de forger un fichier de bases de données malveillant qui, s’il est ouvert par un utilisateur imprudent, permet d’exécuter du code arbitraire sur la machine avec les privilèges de l’application utilisée.
La société Microsoft a été alertée à propos de cette vulnérabilité au travers de Zero Day Initiative, un programme de récompense « bug bounty » créé par l’éditeur TippingPoint. Cette organisation estime que cette faille impacte toutes les versions de Windows, y compris les éditions serveurs. Malheureusement, Microsoft n’a pas été capable de fournir un patch en l’espace de 120 jours. Les détails de la faille ont donc été rendus publics, code à l’appui. A noter que ce délai est plus long que celui de 90 jours imposé par les chercheurs en sécurité de Google Project Zero, une autre initiative dont le but est de chasser les failles dans les logiciels et qui épingle régulièrement des produits de Microsoft.
On ne sait pas quand la firme de Redmond rectifiera le tir. Il est probable qu’un correctif sera intégré dans le prochain Patch Tuesday, prévu pour le 9 octobre. D’ici là, gare aux pièces jointes.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
