La société russe de sécurité Positive Technologies avait annoncé il y a peu avoir découvert deux petites failles concernant les modules DEP (Data Execution Prevention) et HOP (Heap Overflow Protection). Positive expliquait qu'un pirate connaissant bien le système pouvait profiter de ces bogues dans l'implémentation de la technologie pour la contourner.

"Faux" répond Microsoft !

La firme déclare dans un communiqué : "Un pirate ne peut pas utiliser cette méthode en elle-même pour exécuter un code malicieux sur le système d'un utilisateur. Il n'y a aucune attaque possible de cette manière et les utilisateurs ne sont pas en danger".

Microsoft n'est donc pas d'accord avec l'interprétation des deux failles découvertes par Positive, ajoutant même que le module DEP n'a pas spécialement été créé pour détourner les attaques actuelles, mais pour empêcher les attaques dirigées contre Windows XP SP2. Une précision qui risque d'intéresser un certain nombre de personnes.

Microsoft indique donc qu'il ne s'agit pas d'une faille de sécurité, mais que la société travaillera néanmoins à corriger les petites erreurs. Mais Positive continue de clamer que les méthodes d'attaques fonctionnent bien en utilisant l'exploitation de plusieurs failles les unes à la suite des autres. La société russe explique devoir parler publiquement après qu'un avertissement sur ces failles ait été envoyé à Microsoft sans obtenir de réponse.

Positive précise toutefois qu'aucun ver ou virus ne peut exploiter les failles. Il s'agit simplement pour l'industrie d'être tenue informée de ces problèmes. Peter Lindstrom, directeur de recherches chez Spire Security, indique pour sa part que ces erreurs sont rencontrées dans bon nombre de logiciels : "Il s'agit d'une opportunité manquée de protéger d'avantage le système, et non d'une vulnérabilité"