Voilà ce qu’on appelle une belle bourde. Mardi dernier, Microsoft a corrigé une faille critique (CVE-2018-0986) dans ses logiciels de sécurité Windows Defender et Security Essentials qui permettait de faire exécuter du code arbitraire à distance sur n’importe quel ordinateur Windows 7 et supérieur. Il suffisait d’envoyer une archive RAR piégée à l’utilisateur ciblé. Dès que le fichier était scanné par le logiciel, l’attaquant gagnait le contrôle total de la machine.
Le bug a été découvert début mars par Halvar Flake, un chercheur en sécurité de Google. Il s’avère que la firme de Redmond a intégré dans ses produits le code open source d’une ancienne version du logiciel « Unrar », qui permet d’ouvrir ce type d’archives. Le problème, c’est qu’elle a modifié ce code en remplaçant notamment certaines variables signées par des variables non signées. Ce petit changement a ouvert une brèche béante. Certaines conditions logiques dans le code pouvaient, du coup, être court-circuitées, ce qui a ouvert la voie à un dépassement de mémoire tampon et donc à l’exécution de code arbitraire.
Il est vivement recommandé de mettre à jour ces logiciels si ce n’est pas déjà fait. Le numéro de version du moteur antimalware doit être 1.1.14700.5. Pour le vérifier, il faut aller dans « Paramètres Windows -> Mise à jour et sécurité -> Windows Defender ».
Ce n’est pas la première fois que ce type d’erreur survient. Sur Twitter, un collègue de Halvar Falke, Tavis Ormandy, rappelle que l’éditeur Avast avait lui aussi, par le passé, procédé à quelques subtils changements dans le code du logiciel Unrar pour se retrouver avec un beau dépassement de mémoire tampon.
This is amazing, Windows Defender used the open source unrar code, but changed all the signed ints to unsigned for some reason, breaking the code. @halvarflake noticed and got it fixed. Remote SYSTEM memory corruption 😨 https://t.co/gsx9ZMk1Hz
— Tavis Ormandy (@taviso) April 4, 2018
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
