Profil ICC : faille d'Internet Explorer et MSN
Aucun exploit n'a été posté jusqu'à présent, mais la faille en question ...
Aucun exploit n'a été posté jusqu'à présent, mais la faille en question risque bien de se retrouver au menu des prochaines mises à jour Redmondienne (euse, oise?). D'un autre côté, c'est plutôt salutaire puisqu'il n'y a à ce jour aucun plan B pour y remédier.
Quelle faille ? Le bug en question affecte indifféremment le messager et le navigateur de Microsoft. C'est un certain Edward Gagnon, minier en sécurité, qui les a dénichées dans Messenger et Internet Explorer. Dresser la liste des systèmes et versions concernés serait un peu longue. Citons brièvement IE 6, 5.x et MSN 7.0, 6.x, etc. Nous vous inviterons lâchement à vous recueillir sur la page dédiée du site Security Focus pour apprécier la liste des victimes.
Le bug se trouve dans la gestion des profils ICC (International Color Consortium). Il s'agit d'un fichier décrivant la manière dont un périphérique doit rendre compte des couleurs. C'est plus ou moins grâce à ce profil de coordonnées colorimétriques que votre petit neveu a une jolie frimousse rose et non pas violette à points rouges sur vos photos numériques.
C'est dans la manipulation de ces profils liés aux formats d'images que la faille se creuse. Elle résulte spécifiquement d'une violation d'accès mémoire engendrant au minimum un plantage système lorsque le profil ICC se pointe à l'horizon. Et pour provoquer cette chute, il n'y a malheureusement rien de plus simple : Photoshop dans la main droite et un petit éditeur hexadécimal dans la main gauche. Potentiellement, la faille peut permettre l'exécution de commande et donc laisser envisager des missions plus dramatiques que ce passeport pour un crash.
Quelle faille ? Le bug en question affecte indifféremment le messager et le navigateur de Microsoft. C'est un certain Edward Gagnon, minier en sécurité, qui les a dénichées dans Messenger et Internet Explorer. Dresser la liste des systèmes et versions concernés serait un peu longue. Citons brièvement IE 6, 5.x et MSN 7.0, 6.x, etc. Nous vous inviterons lâchement à vous recueillir sur la page dédiée du site Security Focus pour apprécier la liste des victimes.
Le bug se trouve dans la gestion des profils ICC (International Color Consortium). Il s'agit d'un fichier décrivant la manière dont un périphérique doit rendre compte des couleurs. C'est plus ou moins grâce à ce profil de coordonnées colorimétriques que votre petit neveu a une jolie frimousse rose et non pas violette à points rouges sur vos photos numériques.
C'est dans la manipulation de ces profils liés aux formats d'images que la faille se creuse. Elle résulte spécifiquement d'une violation d'accès mémoire engendrant au minimum un plantage système lorsque le profil ICC se pointe à l'horizon. Et pour provoquer cette chute, il n'y a malheureusement rien de plus simple : Photoshop dans la main droite et un petit éditeur hexadécimal dans la main gauche. Potentiellement, la faille peut permettre l'exécution de commande et donc laisser envisager des missions plus dramatiques que ce passeport pour un crash.
Marc Rees
le 19 juillet 2005 à 09:24
(7 680
lectures)
Actualités et brèves relatives
- 18 / 07 / 2005 : IE 7 approche, developpeurs, tenez vous prêts
- 17 / 07 / 2005 : Bientôt un MSN aux qualités audios améliorées ?
- 12 / 07 / 2005 : Internet Explorer 7 et Longhorn : ombres et lumières
- 01 / 07 / 2005 : Internet Explorer : nouvelle faille critique
- 27 / 06 / 2005 : Premières images d'Internet Explorer 7
- 22 / 06 / 2005 : Faille JavaScript commune à la plupart des navigateurs
- 15 / 06 / 2005 : Microsoft : Bulletin de sécurité de juin 2005
- 13 / 06 / 2005 : Internet Explorer 7.0 : précisions et corrections
- 09 / 06 / 2005 : Quelques onglets pour Internet Explorer 6.0
