ACTUALITES

La vulnérabilité découverte hier est universelle : elle frappe un composant commun à de très nombreux systèmes d'exploitation et logiciels. Il s'agit de la librairie zlib, chargée de décompresser des données. Mais contrairement à un logiciel de compression et d'archivage (comme WinZIP ou WinRAR par exemple), zlib est une librairie : c'est-à-dire qu'elle n'est pas utilisable directement mais qu'elle offre plutôt ses services aux autres programmes lorsqu'ils ont besoin, en interne, de décompresser un document ou un exécutable. C'est pourquoi cette vulnérabilité est jugée si critique : n'importe quel programme qui fait appel à zlib peut potentiellement être utilisé pour activer la vulnérabilité. Et donc permettre à des personnes mal intentionnées de prendre le contrôle de l'ordinateur, ou au mieux de provoquer un déni de service.

Et des programmes qui font appels à zlib, il y en a énormément : tous les navigateurs web, par exemple, l'utilisent afin d'être capables de décompresser le trafic web qui leur arrive souvent compressé. La librairie est également utilisée par la plupart des systèmes d'exploitation (Windows, Linux, la famille BSD, MacOS X, etc.), ou même encore sur des téléphones mobiles ou des consoles de jeu ! Bref, zlib est partout est il est donc difficile de savoir d'où viendra l'attaque. Car vu l'impact potentiel de cette vulnérabilité, on peut imaginer sans risque que de nombreux malins tentent désormais de produire un code d'exploitation. Le jour où un premier prototype sera publié, le ver ne sera guère loin.

Tous les programmes ne sont pas égaux face à cette faille

Mais heureusement, tous les programmes ne sont pas égaux face à cette faille : les plus vulnérables sont ceux qui utilisent la librairie pour décompresser des données reçues directement depuis l'extérieur (les navigateurs web ou des outils d'affichage d'images, par exemple). Ceux pour qui zlib ne se charge de décompresser que des données statiques sont plus à l'abri : il faudrait que l'attaquant modifie ces données sur le disque avant leur décompression... et donc qu'il ait déjà accès au système ! En outre, la vulnérabilité des logiciels dépendra en grande partie de leur implémentation de la librairie, chose qu'il est difficile de connaître sans jeter un oeil au code source (et c'est donc impossible pour les systèmes d'exploitation et les logiciels propriétaires). Selon certains spécialistes, toutefois, il serait très simple d'exploiter cette vulnérabilité pour faire "crasher" les applications, mais plus compliqué de prendre le contrôle de l'ordinateur grâce à elle.

La menace est malgré tout jugée critique par les observateurs, qui la placent généralement au niveau d'alerte le plus élevé (par exemple chez le français FrSIRT, ex K-OTIK) ou juste en-dessous (chez Secunia, car aucun code d'exploitation n'est encore disponible). Elle frappe la version 1.2.2 de la librairie, mais les précédentes pourraient tout aussi bien être vulnérables. La version 1.2.3 de zlib est disponible et elle corrige cette vulnérabilité. De nombreux éditeurs viennent de fournir une mise à jour pour leur système. Les plus rapides sont, comme souvent, du côté de la communauté open-source : Fedora, Mandriva (ex Mandrake), Debian et les distributions qui s'appuient sur Debian, FreeBSD, etc. Microsoft affirme de son côté que les versions actuelles de Windows ne semblent pas concernées bien qu'elles utilisent zlib. En revanche, la librairie est aussi utilisée dans MSN Messenger, Internet Explorer ou encore la suite Office, et il n'y a pour l'instant aucune précision à leur sujet.

Plus d'informations :

L'alerte lien sur Secunia (en anglais).

L'alerte sur FrSIRT (en français).

Une liste d'applications qui utilisent la librairie zlib.