IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Actualités Discussion :

Microsoft découvre une faille dans MFC

  1. #1
    Expert éminent sénior

    Inscrit en
    Juillet 2009
    Messages
    3 407
    Détails du profil
    Informations forums :
    Inscription : Juillet 2009
    Messages : 3 407
    Points : 149 059
    Points
    149 059
    Par défaut Microsoft découvre une faille dans MFC
    Microsoft découvre une faille dans MFC
    Qui pourrait aboutir à un dépassement de tampon



    Le Microsoft Security Response avertit les développeurs qu'une faille a été découverte dans MFC.

    Pour mémoire, MFC (Microsoft Foundation Class) est une bibliothèque de classes en C++ qui encapsule l'API Win32 (écrite en C) de Windows.

    La dll incriminée est la mfc42.

    La vulnérabilité touche Windows 2000 et Windows XP (SP2 et SP3), et – potentiellement – toutes les applications qui utilisent cette dll.

    Pour l'instant, Microsoft ne précise pas la nature de la vulnérabilité ni les actions qu'il entend réaliser pour la colmater. Ses experts en sécurité se contentent d'informer les utilisateurs qu'ils en diront plus après avoir étudié le problème.

    La société Secunia en revanche est plus prolixe.

    Pour elle, une attaque qui exploiterait la vulnérabilité de mfc42.dll pourrait aboutir à un buffer overflow (en français : un dépassement de tampon) et, par définition, à l'écriture et/ou à l'exécution d'un code malicieux.

    A surveiller de près donc, en attendant le prochain communiqué de Microsoft.


    Source : Le Tweet du Microsoft Security Response, et le bulletin de Secunia

    Lire aussi :

    Tutoriel : introduction aux MFC avec Visual Studio 2008, actualisé par farscape

    Les rubriques (actu, forums, tutos) de Développez :

    Sécurité
    Windows
    C++
    Et le forum MFC

    Et vous ?

    D'après vous, faille critique ou faille mineure ?

  2. #2
    Membre éprouvé

    Profil pro
    Inscrit en
    Novembre 2009
    Messages
    612
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Novembre 2009
    Messages : 612
    Points : 1 226
    Points
    1 226
    Par défaut
    Citation Envoyé par Gordon Fowler Voir le message
    Et vous ?

    D'après vous, faille critique ou faille mineure ?
    J'ai toute foi dans les experts de ms pour nous le dire une fois qu'ils auront fait le tour de la question.
    J'espère juste qu'entre temps personne n'aura fait de PoC.
    Flash player ActionScript Virtual Machine 2 http://www.mozilla.org/projects/tamarin/
    fonctionnement de la machine virtuel : (ActionScript Virtual Machine 2 (AVM2)) :
    http://www.adobe.com/content/dam/Ado...m2overview.pdf

  3. #3
    En attente de confirmation mail
    Profil pro
    Inscrit en
    Mars 2010
    Messages
    222
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Mars 2010
    Messages : 222
    Points : 401
    Points
    401
    Par défaut
    Citation Envoyé par ferber Voir le message
    J'ai toute foi dans les experts de ms pour nous le dire une fois qu'ils auront fait le tour de la question.
    J'espère juste qu'entre temps personne n'aura fait de PoC.
    Aucune raison de faire un PoC puisque les experts de MS se penchent dessus …

    Les PoC ne sont faits que lorsque l'éditeur n'en a rien à faire et ne corrige pas la faille après avoir été averti de son existence et de sa dangerosité.

  4. #4
    Invité
    Invité(e)
    Par défaut
    Citation Envoyé par Gordon Fowler Voir le message
    D'après vous, faille critique ou faille mineure ?
    Hein, quoi encore des gens qui dénigrent Windows en publiant l'existence de failles, les vilains...

    Ah , non en fait c'est juste microsoft qui s'attaque à XP

  5. #5
    Membre éprouvé

    Profil pro
    Inscrit en
    Novembre 2009
    Messages
    612
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Novembre 2009
    Messages : 612
    Points : 1 226
    Points
    1 226
    Par défaut
    Citation Envoyé par Caly4D Voir le message
    Aucune raison de faire un PoC puisque les experts de MS se penchent dessus …

    Les PoC ne sont faits que lorsque l'éditeur n'en a rien à faire et ne corrige pas la faille après avoir été averti de son existence et de sa dangerosité.
    Si je me réfère aux derniers évènements, les poc servent à mettre à mal le maximum de pc, dans le minimum de temps.
    Et donc je me redis, j'espère que personne ne va faire de PoC au sujet de cette faille.
    Mais bon, au vue de ce que j'ai pu lire aujourd'hui sur ce forum, je pense que c'est mal parti.
    Flash player ActionScript Virtual Machine 2 http://www.mozilla.org/projects/tamarin/
    fonctionnement de la machine virtuel : (ActionScript Virtual Machine 2 (AVM2)) :
    http://www.adobe.com/content/dam/Ado...m2overview.pdf

  6. #6
    Membre averti

    Homme Profil pro
    Ingénieur qualité méthodes
    Inscrit en
    Mars 2004
    Messages
    220
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 36
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur qualité méthodes
    Secteur : Administration - Collectivité locale

    Informations forums :
    Inscription : Mars 2004
    Messages : 220
    Points : 322
    Points
    322
    Par défaut
    Si je me réfère aux derniers évènements, les poc servent à mettre à mal le maximum de pc, dans le minimum de temps.
    Non, les PoC ont pour objet de démontrer que c'est possible, sans aller jusqu'au bout (au moins au niveau de la publication). L'exploitation de ce code constitue un exploit.

    Donc, un PoC pas besoin puisque MS s'en occupe ; mais espérons qu'il n'y aura pas d'exploit
    "Une méthode fixe n'est pas une méthode" (Proverbe chinois)

  7. #7
    En attente de confirmation mail
    Profil pro
    Inscrit en
    Mars 2010
    Messages
    222
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Mars 2010
    Messages : 222
    Points : 401
    Points
    401
    Par défaut
    Citation Envoyé par Caly4D Voir le message
    Les PoC ne sont faits que lorsque l'éditeur n'en a rien à faire et ne corrige pas la faille après avoir été averti de son existence et de sa dangerosité.
    Citation Envoyé par ferber Voir le message
    Si je me réfère aux derniers évènements, les poc servent à mettre à mal le maximum de pc, dans le minimum de temps.
    t'as pas bien du lire ou plutôt comprendre les derniers événement alors

  8. #8
    Membre éprouvé

    Profil pro
    Inscrit en
    Novembre 2009
    Messages
    612
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Novembre 2009
    Messages : 612
    Points : 1 226
    Points
    1 226
    Par défaut
    Si j'ai bien lu, la théorie :
    1 - informer un éditeur de la présence d'une faille
    2 - mise en ligne d'un PoC, en cas de réponse insuffisante de l'éditeur
    la pratique:
    1 - Mise a disposition d'un PoC sur le web après quatre jour d'attente.
    2 - 10 000 attaques informatiques depuis la mi-juin.
    Flash player ActionScript Virtual Machine 2 http://www.mozilla.org/projects/tamarin/
    fonctionnement de la machine virtuel : (ActionScript Virtual Machine 2 (AVM2)) :
    http://www.adobe.com/content/dam/Ado...m2overview.pdf

  9. #9
    Membre émérite
    Profil pro
    Inscrit en
    Janvier 2007
    Messages
    1 448
    Détails du profil
    Informations personnelles :
    Âge : 39
    Localisation : France, Paris (Île de France)

    Informations forums :
    Inscription : Janvier 2007
    Messages : 1 448
    Points : 2 284
    Points
    2 284
    Par défaut
    Citation Envoyé par azertyman Voir le message
    Non, les PoC ont pour objet de démontrer que c'est possible, sans aller jusqu'au bout (au moins au niveau de la publication). L'exploitation de ce code constitue un exploit.

    Donc, un PoC pas besoin puisque MS s'en occupe ; mais espérons qu'il n'y aura pas d'exploit
    Je rajouterais simplement la signification de PoC, pour bien en rajouter une couche sur ce que c'est, ou n'est pas.

    Proof of Concept.

  10. #10
    Membre éprouvé

    Profil pro
    Inscrit en
    Novembre 2009
    Messages
    612
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Novembre 2009
    Messages : 612
    Points : 1 226
    Points
    1 226
    Par défaut
    Citation Envoyé par kaymak Voir le message
    Je rajouterais simplement la signification de PoC, pour bien en rajouter une couche sur ce que c'est, ou n'est pas.

    Proof of Concept.
    Dit clairement cela représente est explique le concept de la faille, comment l'atteindre, une preuve que c'est faisable avec les éléments clefs permettant d'utiliser cette faille, c'est bien souvent la base pour arriver à l'exploit.
    Bref, le poc est un magnifique outil pour ceux qui souhaitent se servir de cette faille.
    Le virus Podloso présent sur iPod avait théoriquement pour seul objectif de prouver qu'il était possible de faire un programme malveillant.
    Flash player ActionScript Virtual Machine 2 http://www.mozilla.org/projects/tamarin/
    fonctionnement de la machine virtuel : (ActionScript Virtual Machine 2 (AVM2)) :
    http://www.adobe.com/content/dam/Ado...m2overview.pdf

  11. #11
    ILP
    ILP est déconnecté
    Membre confirmé
    Avatar de ILP
    Homme Profil pro
    Analyste programmeur
    Inscrit en
    Mai 2002
    Messages
    258
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 38
    Localisation : France, Finistère (Bretagne)

    Informations professionnelles :
    Activité : Analyste programmeur
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Mai 2002
    Messages : 258
    Points : 607
    Points
    607
    Par défaut
    Si la faille se trouve dans mfc42.dll, ça risque d'être très chaud à corriger. Vu qu'elle est déployée dans pleins d'applications et donc qu'elle peut se trouver n'importe où sur les disques durs des utilisateurs.
    Il faudrait que Microsoft trouve le moyen de la détecter quand elle est installée sur le système et de la corriger directement . Sachant qu'elle peut être installée après coup.

    Au fait, le tweet se trouve à cette adresse :
    http://twitter.com/msftsecresponse/status/17804294937
    Et le bulletin ici :
    http://secunia.com/advisories/40298

  12. #12
    Rédacteur

    Avatar de ram-0000
    Homme Profil pro
    Consultant en sécurité
    Inscrit en
    Mai 2007
    Messages
    11 517
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 61
    Localisation : France, Haute Garonne (Midi Pyrénées)

    Informations professionnelles :
    Activité : Consultant en sécurité
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : Mai 2007
    Messages : 11 517
    Points : 50 367
    Points
    50 367
    Par défaut
    Citation Envoyé par ILP Voir le message
    Il faudrait que Microsoft trouve le moyen de la détecter quand elle est installée sur le système et de la corriger directement .
    Windows Update le fait très bien

    Citation Envoyé par ILP Voir le message
    Sachant qu'elle peut être installée après coup.
    Elle n'est pas installée par défaut ? (c'est une vraie question, pas d'ironie de ma part)
    Raymond
    Vous souhaitez participer à la rubrique Réseaux ? Contactez-moi

    Cafuro Cafuro est un outil SNMP dont le but est d'aider les administrateurs système et réseau à configurer leurs équipements SNMP réseau.
    e-verbe Un logiciel de conjugaison des verbes de la langue française.

    Ma page personnelle sur DVP
    .

  13. #13
    Expert éminent sénior Avatar de Uther
    Homme Profil pro
    Tourneur Fraiseur
    Inscrit en
    Avril 2002
    Messages
    4 552
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Pyrénées Orientales (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Tourneur Fraiseur

    Informations forums :
    Inscription : Avril 2002
    Messages : 4 552
    Points : 15 463
    Points
    15 463
    Par défaut
    En général oui mais comme ça n'est pas garanti, certaines applications la déploient dans le dossier de l'application.

  14. #14
    Inactif  
    Profil pro
    Inscrit en
    Février 2003
    Messages
    4 341
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Février 2003
    Messages : 4 341
    Points : 5 953
    Points
    5 953
    Par défaut
    Citation Envoyé par Uther Voir le message
    En général oui mais comme ça n'est pas garanti, certaines applications la déploient dans le dossier de l'application.
    Le mauvais développement d'autrui n'est pas la faute de MS, et tous les mauvais développeurs devront effectuer une mise à jour de leurs applis quand MS aura publié le correctif. Ça leur apprendra à faire les choses correctement !

  15. #15
    ILP
    ILP est déconnecté
    Membre confirmé
    Avatar de ILP
    Homme Profil pro
    Analyste programmeur
    Inscrit en
    Mai 2002
    Messages
    258
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 38
    Localisation : France, Finistère (Bretagne)

    Informations professionnelles :
    Activité : Analyste programmeur
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Mai 2002
    Messages : 258
    Points : 607
    Points
    607
    Par défaut
    Citation Envoyé par ram-0000 Voir le message
    Elle n'est pas installée par défaut ? (c'est une vraie question, pas d'ironie de ma part)
    Non, elle est ajoutée à Windows part diffèrents programme. Un peu comme GDI+ sous Windows 98. Il en existe plusieurs versions et certaines sont incompatible entre elles .
    D'ailleurs, je pense que Microsoft va faire un outil de détection comme pour GDI+.
    Citation Envoyé par Louis Griffont Voir le message
    Le mauvais développement d'autrui n'est pas la faute de MS, et tous les mauvais développeurs devront effectuer une mise à jour de leurs applis quand MS aura publié le correctif. Ça leur apprendra à faire les choses correctement !
    Microsoft aussi a déployé cette DLL dans ses produits (Money, Picture It!…).

  16. #16
    Membre chevronné
    Profil pro
    Inscrit en
    Janvier 2006
    Messages
    927
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : Janvier 2006
    Messages : 927
    Points : 2 113
    Points
    2 113
    Par défaut
    Citation Envoyé par ILP Voir le message
    Microsoft aussi a déployé cette DLL dans ses produits (Money, Picture It!…).
    La question posée un peu plus haut était "où la déployer pour pouvoir la corriger facilement", et pas la déployer ou pas. Du moins, on n'en est pas encore là, car elle va être corrigée normalement (sans vouloir faire de lien bidon avec les éditeurs qui ne corrigent pas certaines failles).
    "If you can't teach it then you don't know it."

  17. #17
    Membre confirmé
    Inscrit en
    Février 2010
    Messages
    230
    Détails du profil
    Informations forums :
    Inscription : Février 2010
    Messages : 230
    Points : 581
    Points
    581
    Par défaut
    Comme c'est marqué dans le 1er post, cette faille ne concerne que 2K et XP.

    Vista et 7 ne sont pas concernés car ils utilisent des algorthmes de protection de la mémoire qui interdit l'exécution de code situé autre-part que dans le segment de texte. Ce qui rend les dépassements de tempons inutilisable (l'application plante immédiatement et déclanche la DEP ou une violation d'accès mémoire).

    Vista plantait tout le temps à cause de ça : les pilotes en particulier étaient tellement mal écrits à l'époque que cette nouvelle protection se déclanchait sans arrêt...

    Pour ce qui est de 2000 et XP, M$ à 3 solutions :
    S'attaquer à la source en patchant les DLL mfc42 du PC,
    Patcher Windows pour détecter, au chargement de la DLL, si elle est patché ou patcher en mémoire si nécessaire,
    Détecter l'overflow et planter le programme (ou faire un écran bleu).

  18. #18
    Membre émérite
    Profil pro
    Inscrit en
    Janvier 2007
    Messages
    1 448
    Détails du profil
    Informations personnelles :
    Âge : 39
    Localisation : France, Paris (Île de France)

    Informations forums :
    Inscription : Janvier 2007
    Messages : 1 448
    Points : 2 284
    Points
    2 284
    Par défaut
    Citation Envoyé par ferber Voir le message
    Dit clairement cela représente est explique le concept de la faille, comment l'atteindre, une preuve que c'est faisable avec les éléments clefs permettant d'utiliser cette faille, c'est bien souvent la base pour arriver à l'exploit.
    Bref, le poc est un magnifique outil pour ceux qui souhaitent se servir de cette faille.
    Le virus Podloso présent sur iPod avait théoriquement pour seul objectif de prouver qu'il était possible de faire un programme malveillant.
    .... Le PoC se contente de prouver que la faille existe, mais ne l'exploite pas..... L'exploit rajoute le matériel nécessaire à rendre la faille dangereuse, autrement dit exploitable à des fins d'utilisations malveillantes.

    C'est semble-t-il un mal nécessaire pour les chercheurs aient besoin de démontrer la viabilité d'un exploit théorique avec autant de certitude.

  19. #19
    Membre éclairé Avatar de rt15
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Octobre 2005
    Messages
    262
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 39
    Localisation : France, Savoie (Rhône Alpes)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Octobre 2005
    Messages : 262
    Points : 665
    Points
    665
    Par défaut
    Citation Envoyé par GCSX_ Voir le message
    Vista et 7 ne sont pas concernés car ils utilisent des algorythmes de protection de la mémoire qui interdit l'exécution de code situé autre-part que dans le segment de texte. Ce qui rend les dépassements de tempons inutilisable (l'application plante immédiatement et déclanche la DEP ou une violation d'accès mémoire).

    Vista plantait tout le temps à cause de ça : les pilotes en particulier étaient tellement mal écrits à l'époque que cette nouvelle protection se déclanchait sans arrêt...
    Je ne connaissais pas cette protection.
    En tout cas, par défaut, elle ne fonctionne que pour les applis systèmes et services windows.

    Il risque en effet d'y avoir pas mal d'application qui ne fonctionne plus avec cette option d'activée (Si elle marche vraiment !). Probablement tout ce qui est génération de code, injections... Quoiqu'il faudrait aussi voir si un petit coup de VirtualProtect contourne ça ou pas.

Discussions similaires

  1. Réponses: 4
    Dernier message: 05/07/2015, 11h51
  2. Microsoft dévoile une faille de sécurité dans Internet Explorer
    Par Stéphane le calme dans le forum Sécurité
    Réponses: 13
    Dernier message: 06/05/2014, 18h27
  3. Microsoft confirme une faille Zero-Day dans IE8
    Par Stéphane le calme dans le forum Sécurité
    Réponses: 3
    Dernier message: 10/05/2013, 10h17
  4. Réponses: 36
    Dernier message: 15/10/2009, 15h24
  5. Linux : Une faille dans le nouveau noyau 2.6.31
    Par ovh dans le forum Administration système
    Réponses: 20
    Dernier message: 23/09/2009, 14h48

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo