|
| |
|
SECURITE |
 |
|
|
| Le heap overflow s'attaque aux erreurs des programmeurs |
| Cousines germaines du buffer overflow, les vulnérabilités de type heap overflow ne s'appliquent qu'au domaine applicatif. Moins connues et moins fréquentes, elles n'en restent pas moins redoutables.
(11/01/2005) |
|
Vulnérabilité propre aux applications, le heap overflow est un très proche cousin du buffer overflow (lire l'article du 15/04/2003) par son mécanisme : dépasser la taille de certaines mémoires pour remplacer les données de variables par d'autres, facilitant ainsi l'action de codes malveillants ou de pirates.
La faille du composant GDI+ de la librairie Windows (autrement appelée "faille JPEG") qui, en septembre dernier, avait donné lieu à la conception d'un cheval de Troie (lire l'article du 30/09/2004), tirait partie de ce type de faiblesse.
"La zone heap sert à stocker des données à durée indéterminée pour les applications. Par exemple, on peut charger plusieurs images dans un même applicatif ou plusieurs documents Word dans Word. Ces blocs alloués peuvent déborder l'un vers l'autre. Une fois la zone mémoire disponible écrasée, la place peut-être prise. En tant qu'éditeur de solutions anti-virus, nous détectons les exploits, mais nous ne les corrigeons pas", déclare Marc Blanchard, directeur du centre européen de recherche antivirus chez Kaspersky.
Ces failles sont issues des faiblesses de développement de certaines applications et la seule parade à leur exploitation malveillante est d'appliquer les patchs fournis par les éditeurs. Moins fréquentes que les vulnérabilités de type buffer overflow (dépassement de tampon), elle nécessitent plus de "travail" de la part des pirates.
| Aller plus en profondeur dans la recherche de la faille pour les pirates |
"Les heap overflow demandent d'aller plus en profondeur dans la recherche de la faille que le buffer overflow. Cet investissement plus poussé est dû à la nécessaire connaissance approfondie qu'il faut avoir du système d'exploitation. Dans le cas d'un buffer overflow, n'importe qui peut - avec les bons outils - regarder l'état de la mémoire stack, ce n'est pas le cas avec une faille de type heap overflow", complète David Kopp, directeur de la recherche et développement chez Trend Micro.
Partant de là, l'utilisation de solutions anti-virales traditionnelles ne suffit bien évidemement plus à contrer ce genre d'attaques. "Il faut intégrer un pare-feu, utiliser un boîtier de type appliance ou recourir à un antivirus qui scanne la couche réseau", conclut David Kopp. |
|
|
|
Dossier 
