Win XP SP 2 : 3e faille

Un laboratoire de recherche indépendant vient de faire savoir que la manipulation baptisée Drag-and-drop (Glissé-déposé) pourrait se transformer en Drag-and-infect sur les ordinateurs équipés du système d'exploitation Windows XP, même pour ceux ayant installé le récent SP2.

Cette faille permettrait à un pirate d'installer sur l'ordinateur visé un programme malveillant, et ce après que l'utilisateur ait cliqué sur un graphique présent sur une page web. Ce programme serait alors placé dans le dossier de démarrage de Windows XP, et s'activerait lors du prochain redémarrage.

Celui qui a trouvé le problème, connu sous le pseudo "http-equiv.", aurait fait une démonstration de la puissance de cette faille. "En visitant cette page web, vous ne verrez que deux lignes rouges et une image. En glissant celle-ci entre les deux lignes, vous installerez le programme malveillant qui s'activera lors du prochain démarrage de l'ordinateur."

Cette faille a été qualifiée de très critique par la société de sécurité informatique Secunia, et ses chercheurs pensent même que le principe pourra encore évoluer pour ne s'activer qu'avec un simple click. Toutefois les responsables de chez Microsoft pensent que cette faille n'est pas si grave que ça, annonçant qu'elle oblige la personne malveillante à effectuer une démarche complète visant à attirer l'utilisateur sur la page en question, et à l'obliger à procéder au glissé-déposé. Pour rappel, cette faille concerne la toute dernière version d'Internet Explorer, et même celle disponible après l'installation du Service Pack 2 de Windows XP.

David S. : PC Impact du 21 août 2004