Informatique

12 avril 2018 19:28; Act: 12.04.2018 19:28 Print

Des polices de caractères pouvaient piéger Windows

Microsoft a corrigé plusieurs failles critiques, dont certaines étaient liées à la gestion des polices de caractères.

storybild

Satya Nadella, patron de Microsoft. (Photo: Drew Angerer)

Une faute?

Microsoft a diffusé mardi 67 patchs de sécurité pour le système Windows, dont 24 visaient à corriger des failles considérées comme critiques. Parmi les plus importantes, cinq étaient liées à la possibilité de pirater un ordinateur via l'utilisation d'une police de caractères piégée. En pratique, un pirate pouvait créer une police de caractères malveillante et l'intégrer à un site web, un document en ligne ou encore un e-mail. Une fois lu par le système, il permettait d'exécuter un code et infecter la machine, rapporte 01net.

«Ceux qui ont connu le malware Duqu ont toujours quelques frissons quand ils voient des bugs liés à des polices de caractères, et ceux-là m'ont fait trembler de haut en bas. [...] Comme il y a beaucoup de manières de lire des caractères - sur le web, dans des documents, dans des pièces jointes - la surface d'attaque est large et attrayante pour les pirates», a expliqué Dustin Childs, chercheur en sécurité de Zero Day Initiative.

Fait rare, dans son lot de correctifs, Microsoft a également intégré un patch matériel. Il concerne le clavier sans fil Wireless Keyboard 850 de la firme. La faille permettait à un attaquant de lire ou d'envoyer des frappes de clavier. La tâche n'était toutefois pas aisée. Le pirate devait d'abord extraire une clé de chiffrement du clavier et se trouver à proximité de la victime.

(man)