A lire les papiers publiés ces dernières 72 heures à propos de la faille MS08-067, l’on comprend aisément les raisons qui poussent Microsoft à ne publier qu’un lot d’alertes par mois. Car, une fois enfermé dans l’illogisme de cette routine, toute parution hors calendrier prend des proportions médiatiques dantesques.
Mais voilà : 08-067 existe bel et bien, a fait l’objet au moins d’un exploit de laboratoire et d’une utilisation plus dangereuse. Côté labo, le fil de discussion Daily Dave a bruissé sur la qualité de l’écriture du Troyen Gimmiv.A ainsi que sur l’analyse de Kostya. Lequel, avec la grâce et la délicatesse qu’on lui connaît, revient sur l’aspect technique du défaut en question. L’explication du « Buffer underflow » étant quelque peu lapidaire sur ces liens, il peut être utile de se reporter à l’explication de Threatexpert.com pour entrevoir la manière dont fonctionne Gimmiv. Kostya Korchinsky explique que c’est là une nouvelle race d’exploits, qui pourrait bien prendre la relève des BoF, race en voie de quasi-extinction. Précisons en passant que Gimmiv n’est pas une innocente preuve de faisabilité : c’est un voleur de crédences locales, MSN, Outlook Express qui, par la même occasion, vérifie la présence de certains antivirus et le type de noyau (pour immédiatement en informer sa « base » par le biais d’une liaison IP située sur une adresse fixe). Le tout est accompagné de données secondaires, telles que le nom de la machine, quelques URLs, le niveau de correctifs installés, des informations sur les stockages protégés ou le type de navigateur employé. Signalons également les travaux de l’Avert Lab sur le sujet, tout ceci noyé dans les cris d’alarme des éditeurs d’antivirus, qui, eux, apportent plus de bruit de fond que de véritable information complémentaire. Cris qui ont tout de même l’avantage, tel celui de F-Secure d’insister sur le fait que l’application rapide de la rustine est impérative. Rien de très neuf non plus dans la mise à jour du bulletin du MSRC signé par Chris Budd. Plus riche d’enseignements que les bulletins des marchands de boucliers périmétriques, plus accessible que les considérations binaires des gourous, la Foire Aux Questions de Juha-Matti Laurio du Securiteam est à lire absolument.