A cause d’une simple page web et une faille incluse dans les Core 2 Duo, vous pouvez attraper un virus indélogeable

Derrière ce titre à rallonge, se cache une preuve de concept tout bonnement hallucinante : des pirates viennent de publier sur internet le code d’une page web capable de faire exécuter du code directement par le processeur. Pour rentrer un peu dans les détails et surtout comprendre car jusque-là, ce n’est vraiment pas clair, cette page web contient du code JavaScript créant une sorte de boucle infinie. Le processeur, à condition que ce soit un Core 2 Duo ou un Atom, va alors tenter d’optimiser le code. Malheureusement, tout ceci ne se passe pas très bien et des erreurs apparaissent, des erreurs qui permettent d’écrire directement dans le cache du processeur. Et à partir de là, c’est le Nirvana pour n’importe quel pirate digne de ce nom : il peut y associer un malware qui va s’exécuter avec des droits très très élevés. Celui-ci sera alors difficilement délogeable par un anti-virus qui lui est bien plus limité dans ses droits. En plus, étant donné que cette vulnérabilité est directement liée au processeur, elle peut toucher n’importe quel système d’exploitation à condition que le code JavaScript soit activé dans le navigateur. Enfin, pour ceux qui se demandent ce que donne le code, vous pouvez suivre ce lien (rassurez-vous, il ne va rien vous faire, promis, juré, craché !).

Avis (9)

  1. Dragnucs

    Merde, j’ai un core 2 duo :s

  2. Etienne S.

    Tu peux vérifier là si tu es touché http://1337day.com/test/18984 . Par contre, c’est le script dont je parle dans l’article, mais là, tu l’exécutes sur ton PC. Par contre, il ne fait strictement rien à part vérifier si ton PC peut être touché.

  3. Bob

    Ouais, j’ai un Celeron!

  4. Maegfea

    Je viens de tester sur mon ordi.
    Mon antivirus le detecte et bloque l’execution avant quand meme 😉 (MSE).

  5. Baptiste

    Idem on antivirus bloque l’opération :-)

  6. Kiwi

    Sur FreeBSD 9.0-P3 (amd64) et un C2D E4600 cet exploit n’est pas fonctionnel. Idem avec Snow Leopard, un C2D et Safari.
    Ceci ressemble encore un a truc pour Internet Explorer et Windows…

  7. JM

    Bonjour, quels sont les anti virus svp ?

  8. Etienne S.

    @JM , en fait, pour l’instant, que ton anti-virus bloque ou pas le contenu des pages listées ici, n’a aucune importance. Ces pages sont juste capable de dire si ton ordinateur est potentiellement touchable par cette faille. Après, la faille n’a pas encore été exploitée et quand cela arrivera, le code sera différent de celui-ci, et n’importe quel antivirus aura besoin d’une nouvelle mise à jour.

  9. xoxo

    C’est pour ce genre de trucs que j’utilise noscript. Même si c’est hyper chiant, au moins c’est moi qui active le js à chaque consultation :)
    Et puis on fini par prendre l’habitude.

Laissez votre avis

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Copyright 2010-2015 © - Geekattitude