Une faille critique zero-day dans Windows

Microsoft a confirmé l'existence d'une vulnérabilité non corrigée dans Windows XP et Vista.

Nouvelle vulnérabilité non-corrigée admise chez Microsoft. Après une vulnérabilité affectant IE, c'est au tour des OS Windows XP et Vista d'être touchés par une faille critique. Le dernier système d'exploitation, Windows 7 n'est donc pas concerné, pas plus que les Windows Server 2008 R2.

Sur son site, Microsoft reconnait le caractère critique de la faille, qui permet à un pirate de prendre le contrôle de la machine : "un attaquant parvenant à exploiter cette vulnérabilité pourrait exécuter du code arbitraire et installer des programmes, afficher, modifier ou supprimer des données. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés seraient moins touchés que ceux qui possèdent des privilèges d'administrateur."

La vulnérabilité concerne le moteur de rendu graphique. Cette faille permet à un pirate de piéger les internautes en modifiant malicieusement un document Word ou Powerpoint. Le géant de Redmond préconise pour l'instant une solution de contournement : modifier la liste de contrôles d'accès (ACL) sur shimgvw.dll. Le prochain Tuesday Patch qui est prévu pour le 11 janvier devrait corriger cette faille.