Tavis Ormandy, chercheur en sécurité de Google, a découvert une vulnérabilité dans l’aide Windows, qui est l’application par défaut pour accéder à la documentation en ligne pour Microsoft Windows.

Microsoft prend en charge l’accès direct aux documents d’aide via les URL en installant un gestionnaire de protocole pour le schéma hcp, un exemple typique est inclus dans la référence de ligne de commande Windows XP et tous les détails sont documentés ici.

Ce problème a été signalé à Microsoft le 5 juin 2010. Moins de quatre jours plus tard, le 9 juin 2010, il l’a rendu public.

La divulgation des détails de cette vulnérabilité et de la façon de l’exploiter sans donner à Microsoft le temps de résoudre le problème rend maintenant les attaques plus probables et met en danger les utilisateurs de Windows XP !(2)

les utilisateurs de Windows Vista, Windows 7, Windows Server 2008 et Windows Server 2008 R2 ne sont pas vulnérables ou à risque pour ce problème.

L’une des principales raisons pour lesquelles nous et beaucoup d’autres dans l’industrie préconisons la divulgation responsable est que le fournisseur de logiciels qui a écrit le code est le mieux à même de comprendre la cause fondamentale. Bien que cela ait été une bonne découverte par le chercheur de Google, il s’avère que l’analyse est incomplète et que la solution de contournement suggérée par Google peut être facilement contournée. Dans certains cas, il faut plus de temps pour une mise à jour complète qui ne peut être évitée et ne cause pas de problèmes de qualité, dit Microsoft.

Il est regrettable, voire irresponsable, que le chercheur en sécurité ait décidé de rendre public sans donner à Microsoft le temps de corriger cette vulnérabilité.

les clients peuvent suivre les instructions de l’avis de sécurité 2219475 pour se protéger contre ce problème.

UPDATE : Microsoft a publié un FixIt pour corriger ce problème.

Jérôme Gaumont