Windows : une faille de sécurité touche les polices de caractères et permet de pirater n’importe quel PC !
Sous Windows, une faille de sécurité permet aux pirates d'exploiter les polices de caractère pour prendre le contrôle de l'ordinateur des utilisateurs. L'injection de caractères spéciaux dans ces polices rendait en fait possible l'exécution de code malveillant. Cinq correctifs ont été déployés par Microsoft via des mises à jour pour régler le soucis et se protéger de ces bugs.
Une faille de sécurité touchant Windows permet à des pirates de prendre le contrôle d'ordinateurs après que celui-ci ait exécuté du code malveillant caché dans des polices de caractères, rapporte Zero Day Initiative, dont le rapport sur les mises à jour de sécurité du mois d'avril 2018 a été relayé par Les Numériques. Une action rendue possible par l'intégration de caractères spéciaux dans les polices.
Windows : des mises à jour pour corriger la faille de sécurité
“Étant donné qu'il y a de très nombreux moyens de voir des polices -navigation web, documents, pièces jointes-, il s'agit d'une attaque particulièrement attractive pour les hackers“, estime Zero Day Initiative. Cinq correctifs ont été déployés par Microsoft pour éviter ce genre de bugs : CVE-2018-1010, -1012, -1013, -1015 et -1016. Il est donc conseillé de mettre à jour son PC Windows si ce n'a pas déjà été fait depuis le 10 avril 2018, date de sortie des derniers patchs. Par contre, il faut se montrer un peu plus patient pour le Windows 10 Spring Creators Update : la mise à jour a été reportée.
“C'est aussi un bon moment pour vous rappeler de ne pas faire de tâches basiques quotidiennes depuis un compte administrateur“, conseille Zero Day Initiative. Dans son rapport, l'auteur s'attarde également sur d'autres failles de sécurité prises en charge par les derniers patchs pour Windows. Ils concernent Internet Explorer, Microsoft Office ou encore le clavier sans fil Wireless Desktop 850 de Microsoft. Avant le correctif, il était possible d'exploiter (difficilement) une faille permettant d'intercepter la frappe des utilisateurs et donc de récupérer des mots de passe, emails ou identifiants bancaires par exemple. Le rapport souligne le fait que ce genre de correctif pour du matériel hardware est relativement rare.