xp-helpandsupportcenter Le chercheur en sécurité informatique Tavis Ormandy a récemment déclenché une petite polémique en divulguant publiquement une vulnérabilité affectant Windows XP et Windows Server 2003 ( et plus précisément dans le service Aide et Support ). L'homme fait partie de l'équipe de sécurité de Google, et Microsoft, qui ne goûte guère cette pratique de la divulgation publique ( full disclosure ), a le sentiment que c'est bien son concurrent Google qui tire les ficelles de cette affaire ( voir notre actualité ).

Quoi qu'il en soit, l'alerte est montée d'un cran puisque Microsoft a mis à jour son avis de sécurité pour prendre en compte des attaques qualifiées pour l'heure de limitées et ciblées. Elles tirent parti du code exploit en guise de preuve de concept que Tavis Ormandy a mis en ligne.

L'éditeur britannique Sophos indique avoir identifié le premier cas d'exploitation de ladite vulnérabilité via un site Web afin d'installer du code malveillant sur des ordinateurs. Ce malware de type cheval de Troie télécharge et exécute d'autres nuisibles sur l'ordinateur de la victime.

Au-delà de la rixe entre Microsoft et Google, voilà qui devrait une nouvelle fois relancer le débat autour du full disclosure. En l'occurrence, Tavis Ormandy avait pris soin de prévenir Microsoft de sa trouvaille et de lui laisser un laps de temps de cinq jours pour réagir avant de tout étaler sur la place publique.