Quelques jours après la publication d'un correctif pour la désormais célèbre "faille WMF", deux nouvelles vulnérabilités ont été découvertes. Ironie du sort, elles concernent elles aussi le...

Quelques jours après la publication d'un correctif pour la désormais célèbre "faille WMF", deux nouvelles vulnérabilités ont été découvertes. Ironie du sort, elles concernent elles aussi le composant WMF mais heureusement, ne sont pas qualifiées de critiques.

Ces deux vulnérabilités ne pourraient pour le moment qu'entraîner un plantage du système d'exploitation via le processus explorer.exe, qui gère à la fois l'interface Windows (barre des tâches, menu démarrer, gestionnaire de fichiers) et le navigateur Internet Eplorer.

Là encore, c'est l'affichage d'un fichier au format WMF (Windows Meta File) qui provoquerait l'incident. Chez Microsoft, on préfère toutefois évoquer un problème de rendement plutôt qu'une faille de sécurité, en insistant sur le fait que ces nouvelles vulnérabilités ne permettent pas l'introduction de codes malicieux dans la machine de l'utilisateur.

Un courrier envoyé via une liste de diffusion consacrée à la sécurité informatique (Bugtraq, Security Focus), affirme cependant que ces vulnérabilités récemment découvertes permettraient des accès non autorisés à la mémoire vive du système ou des attaques par "déni de service", provoquant le gel du système d'exploitation. Le danger ne semble pas très important, mais le plantage peut provoquer la perte des données non sauvegardées sur lesquelles l'on était en train de travailler...

(Atelier groupe BNP Paribas - 11/01/2006)