La multiplication de correctifs de sécurité contenus dans les mises à jour de sécurité a permis d’en savoir plus sur les vulnérabilités de Windows 10, d’Office et de Edge.

ð Parmi elles, l’une des plus atypiques est  savoureuse: il suffisait d’une simple police de caractères défaillante pour prendre le contrôle de tout le système.

Le Patch Tuesday du 10 avril recelait quelques faits remarquables parmi les dizaines de « security updates » qu’il comportait.

On apprend ainsi qu’une faille dans la façon dont Office gérait les objets OLE (1) permettait à un attaquant de concevoir un mail en RTF (Rich Text Format)  (2) pour récupérer des informations sensibles.

Edge semblait aussi avoir des difficultés à traiter des objets (3)   en mémoire.

Via un site web compromis un attaquant pouvait « obtenir des informations pour compromettre davantage le système de l'utilisateur ».

« La mise à jour corrige la vulnérabilité en modifiant la façon dont Microsoft Edge gère les objets en mémoire » précise Microsoft qui estime que l’incident est clos.

Mais il y a plus inquiétant encore !

ð Cinq failles, CVE-2018-1010, CVE-2018-1012, CVE-2018-1013, CVE-2018-1015 et CVE-2018-1016, permettaient la prise de contrôle par un attaquant du système infecté.

Leur vecteur : une police de caractères.

Le problème vient de la manière dont « la bibliothèque de polices Windows gère les polices intégrées spécialement conçues ».

Un individu malveillant  pourrait alors exploiter cette faille pour injecter du code à distance et « installer des programmes; afficher, modifier ou supprimer des données ou créer de nouveaux comptes avec des droits d'utilisateur complets ».

Dans les deux scénarios développés par l’éditeur, il suffit d’une fonte* spécialement programmée pour injecter le code malveillant.

Elle sera exécutée par la bibliothèque de polices Windows soit à l’occasion de la consultation d’un site compromis, soit par le biais d’un « « fichier de document spécialement conçu pour exploiter cette vulnérabilité » que la victime, pour une raison quelconque, ouvrirait.

Ces failles sont corrigées par les patches publiés par Microsoft mardi.

*(Une fonte est l’ensemble des caractères correspondant aux mêmes caractéristiques de corps, graisse et italique au sein d’une même police)

(1)           OLE ( Object Linking and Embedding): Technique mise au point par Microsoft pour faciliter l'échange de données entre les programmes sous Windows. OLE est basé sur le DDE (Dynamic Data Exchange ou échange dynamique de données).

Avec ce protocole, des données provenant d'une application peuvent être insérées dans un document d'une autre application.

Elles restent liées à l'application d'origine. Tant qu'elles restent sur le même support, on pourra les mettre à jour à partir de ce dernier.

Mais, à la différence de  OLE, on ne pourra pas lancer l'application d'origine en cliquant dans l'objet.

(2)            Le Rich Text Format (RTF, littéralement en anglais, « format de texte enrichi ») est un format de fichier développé par Microsoft.

Ce format descriptif non compressé est reconnu par la plupart des logiciels de traitement de texte comme OpenOffice.org Writer, LibreOffice Writer ou Word

(3)            En informatique, un « objet » est un conteneur symbolique et autonome qui contient des informations et des mécanismes concernant un sujet, manipulés dans un programme. Le sujet est souvent quelque chose de tangible appartenant au monde réel. C'est le concept central de la programmation orientée objet (POO)*.

* La programmation orientée objet (POO), ou programmation par objet, est un paradigme de programmation informatique élaboré au début des années 1960 et poursuivi par les travaux de l'Américain Alan Kay dans les années 1970.

Il consiste dans la définition et l'interaction de briques logicielles appelées objets ; un objet représente un concept, une idée ou toute entité du monde physique, comme une voiture, une personne ou encore une page d'un livre.

Il possède une structure interne et un comportement, et sait interagir avec ses pairs. Il s'agit donc de représenter ces objets et leurs relations ; l'interaction entre les objets via leurs relations permet de concevoir et réaliser les fonctionnalités attendues, de mieux résoudre le ou les problèmes