0
Microsoft a lancé une nouvelle version de sa machine virtuelle qui remédie à une vulnérabilité sérieuse.
La machine virtuelle (MV) fait partie des systèmes Windows 95, 98, Me, NT 4,0 et 2000, et est distribuée avec Microsoft Internet Explorer. Lorsque l’on visite une page Web qui contient des applets Java, la machine virtuelle vérifie que le code d’octet est conforme aux règles de sécurité et il l’exécute dans un secteur fermé de la mémoire de manière à ce que ce code n’interagisse pas directement avec le système. Les applets étant des programmes, si ces mesures n'étaient pas prises, ils pourraient effectuer des actions sur l'ordinateur de l'utilisateur.
Parfois, les programmeurs doivent effectuer certaines opérations qui ne sont pas autorisées par les règles strictes établies par défaut par la MV. Afin de pouvoir les réaliser quand même, il est possible d’accepter des applets avec une signature numérique qui garantit non seulement à l'utilisateur final qu’ils sont d'une source fiable, mais qui certifie également l'intégrité du code. Au final, c'est l'utilisateur qui permet l’exécution de l'applet en interaction directe avec le système et, de ce fait, avec la capacité à lire des données et à créer des fichiers.
La vulnérabilité dans la MV, maintenant réparée par Microsoft, réside dans une fonctionnalité qui permet la création et l'utilisation des contrôles ActiveX. Par conception, seuls des applets digitalement signés peuvent exploiter cette fonctionnalité ; cependant, une erreur de mise en application permet à un applet non signé de l'utiliser. Le résultat de ceci est que via un applet il est possible d'employer un contrôle ActiveX pour effectuer n'importe quelle opération dans l'ordinateur de la victime, telles que créer, modifier ou supprimer des données ; envoyer ou recevoir des informations ; ou encore effectuer n’importe quelles actions potentiellement préjudiciables.
D’après Microsoft, les versions affectées de la machine virtuelle sont celles qui se trouvent entre : 2000 et 2466 ; 2752 et 3194 ; et 3300 et 3317. Afin de déterminer quelle version est installée dans un ordinateur, faire ce qui suit :
- Pour Windows NT ou Windows 2000, choisissez « Démarrer », puis « Exécuter » ; tapez ensuite « CMD » et appuyez sur Entrée.
- Pour Windows 95, 98 ou Windows Me, choisissez « Démarrer », puis « Exécuter » ; tapez ensuite « COMMAND » et appuyez sur Entrée.
– Lorsque la commande s’affiche, tapez « JVIEW » et appuyez sur Entrée.
Les informations quant à la version se trouveront à la droite de la première ligne. Elles auront un format du style « 5.00.xxxx », où le « xxxx » est le nombre qui identifie si elle est ou non vulnérable.
Afin de régler ce problème de sécurité, Microsoft a lancé une nouvelle version, la 3318, disponible selon la plate-forme à l'adresse : http://www.microsoft.com/java/vm/dl_vm40.htm
La machine virtuelle (MV) fait partie des systèmes Windows 95, 98, Me, NT 4,0 et 2000, et est distribuée avec Microsoft Internet Explorer. Lorsque l’on visite une page Web qui contient des applets Java, la machine virtuelle vérifie que le code d’octet est conforme aux règles de sécurité et il l’exécute dans un secteur fermé de la mémoire de manière à ce que ce code n’interagisse pas directement avec le système. Les applets étant des programmes, si ces mesures n'étaient pas prises, ils pourraient effectuer des actions sur l'ordinateur de l'utilisateur.
Parfois, les programmeurs doivent effectuer certaines opérations qui ne sont pas autorisées par les règles strictes établies par défaut par la MV. Afin de pouvoir les réaliser quand même, il est possible d’accepter des applets avec une signature numérique qui garantit non seulement à l'utilisateur final qu’ils sont d'une source fiable, mais qui certifie également l'intégrité du code. Au final, c'est l'utilisateur qui permet l’exécution de l'applet en interaction directe avec le système et, de ce fait, avec la capacité à lire des données et à créer des fichiers.
La vulnérabilité dans la MV, maintenant réparée par Microsoft, réside dans une fonctionnalité qui permet la création et l'utilisation des contrôles ActiveX. Par conception, seuls des applets digitalement signés peuvent exploiter cette fonctionnalité ; cependant, une erreur de mise en application permet à un applet non signé de l'utiliser. Le résultat de ceci est que via un applet il est possible d'employer un contrôle ActiveX pour effectuer n'importe quelle opération dans l'ordinateur de la victime, telles que créer, modifier ou supprimer des données ; envoyer ou recevoir des informations ; ou encore effectuer n’importe quelles actions potentiellement préjudiciables.
D’après Microsoft, les versions affectées de la machine virtuelle sont celles qui se trouvent entre : 2000 et 2466 ; 2752 et 3194 ; et 3300 et 3317. Afin de déterminer quelle version est installée dans un ordinateur, faire ce qui suit :
- Pour Windows NT ou Windows 2000, choisissez « Démarrer », puis « Exécuter » ; tapez ensuite « CMD » et appuyez sur Entrée.
- Pour Windows 95, 98 ou Windows Me, choisissez « Démarrer », puis « Exécuter » ; tapez ensuite « COMMAND » et appuyez sur Entrée.
– Lorsque la commande s’affiche, tapez « JVIEW » et appuyez sur Entrée.
Les informations quant à la version se trouveront à la droite de la première ligne. Elles auront un format du style « 5.00.xxxx », où le « xxxx » est le nombre qui identifie si elle est ou non vulnérable.
Afin de régler ce problème de sécurité, Microsoft a lancé une nouvelle version, la 3318, disponible selon la plate-forme à l'adresse : http://www.microsoft.com/java/vm/dl_vm40.htm
