Une nouvelle faille de sécurité pourrait compromettre les anciens systèmes d'exploitation Windows

Microsoft a été informé lundi d'une faille de sécurité dans les anciennes versions de Windows qui pourrait, si exploitée, permettre aux pirates informatiques d'exécuter du code malveillant sur des ordinateurs peu méfiants. Cette vulnérabilité est due 'à une erreur de limitation dans la fonction «UpdateFrameTitleForDocument ()» de la classe CFrameWnd dans mfc42.dll..

Selon Secunia, des pirates informatiques pourraient exploiter un ordinateur en passant un argument de chaîne de titre excessivement long à la fonction concernée, ce qui provoquerait un débordement de tampon basé sur une pile..

Les systèmes d’exploitation concernés confirmés par Secunia sont Windows 2000 Professional SP4 incluant la version 6.0.9586.0 de mfc42.dll et Windows XP SP2 / SP3 incluant la version 6.2.4131.0 de mfc42.dll. Ils ont également noté que d’autres versions pourraient également être affectées. Il est actuellement connu de présenter des vecteurs d’attaque valides: PowerZip version 7.2 Build 4010 (lorsqu’on entre, par exemple, dans un répertoire trop long dans une archive ouverte.

Microsoft a annoncé via la publication Twitter de Microsoft Security Response Team qu'ils avaient été informés de la vulnérabilité et qu'ils étudient actuellement le problème..

En attendant que Microsoft corrige cette situation, la solution recommandée par Secunia consiste à limiter l'accès aux applications, ce qui permet de transmettre les entrées contrôlées par l'utilisateur à la vulnérabilité..