Des chercheurs de la firme Core Security Technologies ont montré qu’une faille dans Virtual PC permettait d’exploiter les vulnérabilités de programmes qui auraient été inoffensives si le logiciel ne tournait pas dans un environnement virtualisé.

Un problème pas si important que cela, selon Microsoft

Microsoft a tenté de minimiser l’impact du problème en expliquant que ce bug demande qu'une faille existe déjà dans un logiciel et que le programme tourne dans un environnement Windows XP virtualisé par Virtual PC. De plus, le pirate n’a pas le contrôle de la machine hôte, mais a seulement la main sur le système géré par le programme de virtualisation.

Des conséquences bien réelles pour l’utilisateur

Néanmoins, dans les faits, les utilisateurs les plus à risques sont les professionnels qui utilisent encore majoritairement Windows XP ou le mode Windows XP de Windows 7, aussi touché par ce problème.

La faille, qui a été reconnue par Redmond, permet de contourner les protections présentes dans le système d’exploitation afin de tirer parti d’une vulnérabilité dans un programme pour prendre le contrôle de la machine virtualisée en accédant à certaines de ses pages mémoires et même en écrivant dessus pour lancer un code malveillant.

La firme de sécurité a déjà publié un proof-of-concept, mais Microsoft ne parle pas encore de mise à jour. Au final, s’il est clair qu’il s’agit d’une faille d’une portée limitée, on regrette que l’éditeur n’ait pas montré un désir de réparer la vulnérabilité ou plus de sérieux face à un problème qui pourrait avoir des conséquences bien réelles pour des entreprises.

http://www.presence-pc.com/actualite/Virtual-PC-faille-38541/#xtor=RSS-11