Découvreur émérite de vulnérabilités, Tavis Ormandy a de nouveau frappé. Ce chercheur en sécurité informatique qui fait partie de l'équipe Google a mis au jour une faille dans le système d'exploitation Windows et plus précisément dans la fonction Windows Help and Support Center qui est fournie avec Windows XP et Windows Server 2003.

L'homme a prévenu Microsoft de sa trouvaille le 5 juin 2010, et seulement quatre jours plus tard, a décidé de passer à la divulgation publique ( full-disclosure ) avec tous les détails sur ladite vulnérabilité et la manière de l'exploiter. Évidemment, Microsoft qui estime ne pas avoir eu le temps nécessaire pour préparer son correctif n'a pas apprécié la démarche. De son côté, Tavis Ormandy considère agir dans un souci d'information, et ainsi presser Microsoft dans son devoir correctif.

Ladite vulnérabilité n'est pas simple à exploiter et il faudrait d'ailleurs parler d'une combinaison de plusieurs vulnérabilités. VUPEN a confirmé les dires d'Ormandy dans un avis de sécurité critique. Microsoft a également émis à ce sujet un avis de sécurité, précisant bien que Windows Vista ou encore Windows 7 ne sont pas concernés car l'application Help and Support Center ( helpctr.exe ) vulnérable n'y est pas présente.

D'après Tavis Ormandy, son scénario d'attaque est fonctionnel avec toutes  les versions des navigateurs Web. Selon les explications de Microsoft, cliquer sur un lien hcp:// lance helpctr.exe. Ce processus est généralement sûr eu égard à plusieurs mécanismes de vérification ( liste blanche de pages sûres ), mais le chercheur a réussi à les outre-passer. Ainsi, via un lien hcp:// malveillant, l'utilisateur peut atterrir sur une page d'aide avec une vulnérabilité cross-site scripting et finalement permettre l'exécution d'un code arbitraire.

Tavis Ormandy a produit un hotfix que Microsoft juge toutefois inefficace pour empêcher le code vulnérable d'être atteint et peut être facilement contourné. En attendant un correctif, Microsoft recommande d'enlever du registre la manipulation du protocole hcp://.


Google tire les ficelles ?
Avec cette divulgation publique, Tavis Ormandy se désolidarise de son étiquette Google et dit avoir agi en son nom. Quand Microsoft évoque cette affaire, il est toutefois bel et bien fait mention d'un chercheur Google et de se faire une  nouvelle fois l'avocat d'une divulgation responsable des failles :

" Alors que c'était une bonne découverte par le chercheur Google, il s'avère que l'analyse est incomplète et le contournement actuel suggéré par Google est facilement mis en échec. Dans certains cas, plus de temps est nécessaire pour une mise à jour complète qui ne peut pas être contournée, et ne pose pas des problèmes de qualité "

, écrit Mike Reavey, le Directeur de Microsoft Security Response Center. Il enfonce le clou en soulignant que l'éditeur qui a écrit le code d'un logiciel est le plus à même à comprendre les réelles causes d'un problème.

Pour Microsoft, il semble bien que Google tire les ficelles de toute cette histoire. Les employés de la firme de Mountain View ont récemment révélé que pour des raisons de sécurité, Windows est persona non grata dans les locaux du géant du Web.