Le rootkit de Sony encore plus dangereux, grosse faille
Et bientôt l'invention du rootquit ?
Un chercheur finlandais nommé Muzzy vient de dénicher une grande faille de sécurité dans le logiciel de désinstallation du rootkit de Sony, que le Japonais s'est empressé de mettre en ligne après la grande polémique autour de sa méthode de protection un peu trop...agressive.
Le désinstalleur de la protection XCP en question pourrait en fait causer un risque bien plus grand pour les PC que ne l'était le rootkit en lui-même. Sous forme de contrôle ActiveX mis au point par First4Internet et baptisé CodeSupport, ce désinstalleur reste sur l'ordinateur, même après avoir effectué la désinstallation.
CodeSupport squatte alors le disque dur avec une signature de programme de confiance pour exécuter des scripts en tous genres. Ainsi, toute page web pourrait accéder à ce contrôle ActiveX pour lui ordonner de faire maintes choses, et notamment d'installer des codes malins sur le PC. Le problème est que ce CodeSupport ne vérifie en rien si le code qu'il lui est ordonné de télécharger vient ou non de chez Sony ou de chez First4Internet, ce qui permet alors toutes les dérives sans solliciter la permission de l'utilisateur.
Ainsi, ceux qui auront utilisé une fois CodeSupport pour se débarrasser du dangereux rootkit de Sony risquent bien plus maintenant, avec cet ActiveX résidant sur leur disque dur. Alex Halderman et Ed Felten, deux sommités en la matière, affirment sur leur blog avoir démontré la faille en exploitant CodeSupport pour télécharger discrètement des fichiers sur un PC.
Le désinstalleur web du rootkit de Sony sous forme de contrôle ActiveX s'avère donc très dangereux pour un PC, et il faudra lui préférer son équivalent en fichier exécutable indépendant, mis à disposition peu après par Sony. Une fois le rootkit désinstallé, la suppression de ces fichiers suffira à éliminer la menace.
Ceux qui veulent savoir si CodeSupport squatte ou non leur disque dur peuvent le vérifier en cliquant sur ce lien avec Internet Explorer. Les victimes pourront supprimer le fichier nuisible en tapant cette ligne de commande dans la fonction « Exécuter » de Windows :
cmd /k del “%windir%\downloaded program files\codesupport.*”
Le désinstalleur de la protection XCP en question pourrait en fait causer un risque bien plus grand pour les PC que ne l'était le rootkit en lui-même. Sous forme de contrôle ActiveX mis au point par First4Internet et baptisé CodeSupport, ce désinstalleur reste sur l'ordinateur, même après avoir effectué la désinstallation.
CodeSupport squatte alors le disque dur avec une signature de programme de confiance pour exécuter des scripts en tous genres. Ainsi, toute page web pourrait accéder à ce contrôle ActiveX pour lui ordonner de faire maintes choses, et notamment d'installer des codes malins sur le PC. Le problème est que ce CodeSupport ne vérifie en rien si le code qu'il lui est ordonné de télécharger vient ou non de chez Sony ou de chez First4Internet, ce qui permet alors toutes les dérives sans solliciter la permission de l'utilisateur.
Ainsi, ceux qui auront utilisé une fois CodeSupport pour se débarrasser du dangereux rootkit de Sony risquent bien plus maintenant, avec cet ActiveX résidant sur leur disque dur. Alex Halderman et Ed Felten, deux sommités en la matière, affirment sur leur blog avoir démontré la faille en exploitant CodeSupport pour télécharger discrètement des fichiers sur un PC.
Le désinstalleur web du rootkit de Sony sous forme de contrôle ActiveX s'avère donc très dangereux pour un PC, et il faudra lui préférer son équivalent en fichier exécutable indépendant, mis à disposition peu après par Sony. Une fois le rootkit désinstallé, la suppression de ces fichiers suffira à éliminer la menace.
Ceux qui veulent savoir si CodeSupport squatte ou non leur disque dur peuvent le vérifier en cliquant sur ce lien avec Internet Explorer. Les victimes pourront supprimer le fichier nuisible en tapant cette ligne de commande dans la fonction « Exécuter » de Windows :
cmd /k del “%windir%\downloaded program files\codesupport.*”
Bruno Cormier
le 16 novembre 2005 à 11:24
(18 233
lectures)
Actualités et brèves relatives
- 11 / 11 / 2005 : Un cheval de Troie exploite le rootkit de Sony
- 10 / 11 / 2005 : Une class action américaine contre les rootkits de Sony
- 10 / 11 / 2005 : La protection XCP de Sony attaquée de toutes parts !
- 07 / 11 / 2005 : Sony et les rootkits : des problèmes avec le patch ?
- 04 / 11 / 2005 : Le rootkit de Sony permet aussi de tricher sous WoW !
- 03 / 11 / 2005 : Sony fait machine arrière sur les rootkits
- 02 / 11 / 2005 : Sony, les rootkits et la gestion des DRM
- 29 / 10 / 2004 : Red Hat Linux : un Trojan sous la fausse mise à jour
