Virtual PC ouvre la porte aux pirates
Des chercheurs de la firme Core Security Technologies ont montré qu’une faille dans Virtual PC permettait d’exploiter les vulnérabilités de programmes qui auraient été inoffensives si le logiciel ne tournait pas dans un environnement virtualisé.
Un problème pas si important que cela, selon Microsoft
Microsoft a tenté de minimiser l’impact du problème en expliquant que ce bug demande qu'une faille existe déjà dans un logiciel et que le programme tourne dans un environnement Windows XP virtualisé par Virtual PC. De plus, le pirate n’a pas le contrôle de la machine hôte, mais a seulement la main sur le système géré par le programme de virtualisation.
Des conséquences bien réelles pour l’utilisateur
Néanmoins, dans les faits, les utilisateurs les plus à risques sont les professionnels qui utilisent encore majoritairement Windows XP ou le mode Windows XP de Windows 7, aussi touché par ce problème.
La faille, qui a été reconnue par Redmond, permet de contourner les protections présentes dans le système d’exploitation afin de tirer parti d’une vulnérabilité dans un programme pour prendre le contrôle de la machine virtualisée en accédant à certaines de ses pages mémoires et même en écrivant dessus pour lancer un code malveillant.
La firme de sécurité a déjà publié un proof-of-concept, mais Microsoft ne parle pas encore de mise à jour. Au final, s’il est clair qu’il s’agit d’une faille d’une portée limitée, on regrette que l’éditeur n’ait pas montré un désir de réparer la vulnérabilité ou plus de sérieux face à un problème qui pourrait avoir des conséquences bien réelles pour des entreprises.
- Trois LifeCam pour le la HD à moins de 60 $
- IE9 : Microsoft a enfin compris les navigateurs
- Logitech remboursera (peut-être) des télécommandes Harmony !
- Un Xeon plus intéressant que les Core i7
- De la LV-DDR3 à 1333 MHz chez Kingston
- Designo LS246H : Un 23,6’’ sexy chez Asus
- XFX sait intéresser les geeks
- Asus dévoile sa P7F7-E WS SuperComputer
- Intel lance ses Xeon 5600 Westmere-EP
- Quel navigateur Internet est le plus rapide ?
- De la DDR3L aussi chez Crucial
- EVGA officialise sa carte mère bi-LGA1366
- NVIDIA publie des pilotes 197.13 bêta
- Razer : parce que les gauchers jouent aussi
- Le grand retour de Commodore [MAJ]
- AMD : une liste de jeux « Eyefinity »
- Le grand retour d'Olivetti (aussi)
- TDJ : Gigabyte X58A-UD7, applis pour iPhone…
Attention, une petit coquille s'est glissée dans l'article : Virtual PC ni le XP mode ne se basent sur un hyperviseur. Seul HyperV le fait coté Microsoft.
Est-ce que toutes les versions de Virtual PC sont affectées par la faille ?
j'adore les articles qui se citent eux-mêmes comme source..... alors puisque ce n'est pas précisé, la voici:http://www.coresecurity.com/content/virtual-pc-2007-hypervisor-memory-protection-bug
on y précise, entre autres, que cette faille n'est pas exploitable à distance mais localement et qu'elle permet à des programmes utilisateurs tournant sur le guest d'avoir accès à l'espace mémoire au delà des 2Go du host.
pour résumer, il faut donc exploiter la faille d'un programme (et non une faille windows) tournant sur la machine virtuelle afin d'attaquer l'hôte, le tout en local.je comprends pourquoi microsoft ne panique pas tout de suite....
"Au final, s’il est clair qu’il s’agit d’une faille d’une portée limitée, on regrette que l’éditeur n’ait pas montré un désir de réparer la vulnérabilité ou plus de sérieux face à un problème qui pourrait avoir des conséquences bien réelles pour des entreprises."
Non mais vous voulez rigoler ?
Allez je me lance, la faille ne sera JAMAIS exploitée dans une entreprise vu les conditions ubuesques qu'elle demande ... faut arrêter la psychose, Microsoft n'en a rien à glander et ... les entreprises s'en foutent encore plus ...
et ben toi, tu seras jamais responsable de la sécurité dans mon entreprise... et je suis loin d'être parano... mais bon, y a un proof of concept, on reconnait qu'il y a un bug, la moindre des choses c'est de corriger, surtout s'il ouvre une porte, même s'il n'est pas facile d'accès... Je veux dire, déjà l'interface chaise clavier c'est dur, mais alors si en plus on leur donne la possibilité de faire tourner un problème qui permet d'écrire dans l'espace mémoire...
Enfin, quand je lis "Microsoft n'en a rien à glander", quand il s'agit d'une faille reconnue, je me dis fanboy...
aie, pas bien
Au mileu du blanc et du noir, il y a la voie du milieu:
si tu le sens pas le Virtual,
tu l'installes pas, et basta, non?
Chacun sa chacune.