Microsoft corrige un vieux bug affectant toutes les versions Windows depuis 95

Sécurité informatique

Vous avez bien lu, le populaire système d’exploitation comprenait jusqu’à tout récemment une faille de sécurité vieille de 19 ans. À la défense de Microsoft, celle-ci n’a été découverte que plus tôt cette année.

En effet, c’est en mai dernier que les chercheurs en sécurité d’IBM ont discrètement avisé le géant du logiciel du problème afin d’éviter que des personnes mal intentionnées tentent d’exploiter la faille en question.

«Cette vulnérabilité était exposée aux yeux de tous depuis un long moment en dépit de nombreux autres bugs découverts et corrigés dans la même bibliothèque de Windows (OleAut32).»

Répondant au joli nom de CVE-2014-6332, le bug en question permet à un attaquant d’exécuter du code à distance sur un système affecté par le biais d’une adresse URL lancée à partir d’Internet Explorer.

Selon IBM, cette faille est exploitable depuis la version 3.0 du navigateur jusqu’à la plus récente; autrement dit, depuis Windows 95.

«Cette vulnérabilité était exposée aux yeux de tous depuis un long moment en dépit de nombreux autres bugs découverts et corrigés dans la même bibliothèque de Windows (OleAut32)», explique Robert Freeman, chercheur pour IBM.

Ce n’est pas la première fois chez Microsoft que de vieux bugs refont surface dans l’actualité. Rappelons qu’en avril dernier, la firme de sécurité FireEye a trouvé une autre vieille faille en lien avec Internet Explorer, âgée de 12 ans. Alors que Microsoft venait tout juste de mettre un terme au soutien de Windows XP, l’entreprise a publié une dernière mise à jour en mai afin de corriger la situation auprès des utilisateurs de l’OS.

L’histoire se répétera-t-elle à nouveau? Pour l’instant, Microsoft a lancé des mises en jour notamment pour Windows Vista, Windows 7 et Windows 8.1 (évidemment, le problème sera absent de Windows 10 lors de sa sortie officielle).

Soulignons que rien n’indique que cette faille est exploitée à l’heure actuelle. Toutefois, le Common Vulnerability Scoring System (un système d’évaluation de la criticité des vulnérabilités informatiques) lui a attribué la sévère note de 9,3 sur 10. Les utilisateurs de Windows ont donc tout intérêt à appliquer la mise à jour aussitôt que possible.

  • sylvain tremblay

    pas fort

    • DJ

      C’est pas comme si ils étaient au courent depuis le début….

    • HD Z

      Pas moins que votre commentaire.

  • Serge

    De ce que je comprend dans la sévérité des notes, une grosse partie de la note provient du fait qu’un grand nombre de système d’exploitation sont touchés (Win95, 98, 98SE, ME, NT4, 2000, XP, Vista, 7, 8, 8.1). Du coup, ce n’est pas un marché de 10% mais de 90% des ordinateurs qui s’ouvrent à un pirate. Il devient alors très rentable d’y mettre les efforts.

  • Steve C

    La question est qui le connaissait et depuis combien de temps ?
    Ce n’est pas parce qu’un groupe d’ingé d’IBM finit par découvrir la chose que personnes d’autres AVANT le savait … du coté des pirates du gouvernement chinois par exemple ou encore du crime organisé ou bien même la NSA …

  • Carl

    Et la correction de la raison pour laquelle il existe des virus sera-t’elle résolue un jour sur Windows? Les autres types de systèmes ne comportent pas la faille du bit d’exécution. Une image ne devrait pas pouvoir s’exécuter. Un fichier ne devrait pas plus pouvoir. Seuls les fichiers compilés devraient pouvoir s’exécuter, et de facon isolée. …ainsi, il y aurait plus de virus (d’autres types de malwares, oui, mais plus de virus comme on en voit encore de nos jours, malgré toutes les « protections » mises en place par Microsoft.

    …le tout dans un but de compatibilité avec les vieux systèmes… …là est mon bogue avec Microsoft Windows :)

    Ils ont corrigés cette faille dans la version de Windows fournie avec les tablettes Surface et les téléphones Windows. …pourquoi ne pas la corriger sur la version Desktop qu’on en parle plus? Sans doute en raison du fait des partenariats avec les fournisseurs anti-virus qui ne la trouveraient pas drole :)

    Continuons d’écouter les bons conseils du gars de Futur Shop et Bureau en gros, qui recommandent Windows, avec Norton :)