Internet Explorer 8 : la protection DEP/NX activée par défaut

Depuis plusieurs années, déjà à l’époque de Windows XP, les systèmes de Microsoft embarquent une protection nommée DEP/NX, pour « Data Execution Prevention/No Execute », que l’on retrouve sur tous les processeurs récents d’Intel et AMD. Le but de cette fonctionnalité est d’empêcher des services et applications d’exécuter du code dans des zones de la mémoire vive créées spécifiquement pour contenir des données statiques. La finalité est d’empêcher notamment un maximum de dépassements de mémoire tampon.

Microsoft a annoncé récemment qu’Internet Explorer 8 allait intégrer cette protection pour la gestion du contenu web, et ce, dans l’optique de placer une barrière entre ce même contenu et la machine hôte. En fait, cette technologie est déjà présente dans Internet Explorer 7, mais elle n’est pas active par défaut. Pourquoi ? Parce qu’elle peut provoquer des problèmes de compatibilité. À noter que le couple DEP/NX ne sera présent que dans Vista et Windows Server 2008.

Mais de quel type d’incompatibilités parle-t-on ici ? Les développeurs web peuvent se rassurer, car il ne s’agit pas de soucis potentiels avec les pages web, mais avec les add-ons créés pour Internet Explorer. Ainsi, des modules tels que IEPro par exemple devront être vérifiés pour ne pas créer d’erreur, la protection DEP/NX arrêtant de manière sèche une application qui exécuterait un mouvement qu’elle n’est pas censée faire.

Du côté des utilisateurs donc, il n’y aura aucune différence, car la protection est transparente, comme celle qui permet déjà de vérifier les logiciels classiques. Du côté des créateurs d’add-ons par contre, Microsoft recommande plusieurs éléments :

• Si le code dépend d’une ancienne version d’Active Template Library, il faut reconstruire l’add-on avec la version 7.1 SP1 au moins (la version 8.0 est présente dès Visual Studio 2005)
• L’option /NXCompat doit être présente dans le code
• Les tests peuvent se faire avec la bêta 1 d’Internet Explorer 8 sous Vista SP1

Microsoft indique qu’elle est consciente que les recommandations et conseils ne suffiront pas. Dans le cas des entreprises qui emploient certains add-ons particuliers, une politique de groupe sera créée pour permettre à un administrateur de désactiver DEP/NX à l’échelle d’un réseau entier dans Internet Explorer.

L’activation par défaut de cette protection change la manière dont le navigateur gère la sécurité dans son ensemble. Trois domaines particuliers sont notamment visés : les réseaux sociaux, les serveurs web et les vulnérabilités du navigateur lui-même.

Source : Microsoft

Le 10 avril 2008 à 11:30 (22 068 lectures)

Tweeter

Actu Précédente Actu Suivante