Edition du 28/03/2008 - par Marc Olanié

Cesar Cerrudo, dans un communiqué publié sur le site d'Argenis, déclare avoir « re »-découvert une faille dans les noyaux XP/Vista -et par conséquent 2008- qui permettrait d'aboutir à une élévation de privilège. Les détails de l'exploit ne sont pas fournis. Tout juste est-il expliqué que des comptes couramment utilisés par des services « réseaux » et « locaux » pouvaient voir leurs droits élevés en court-circuitant les nouveaux services de protection du noyau installé dans les dernières versions. Ce même problème affecterait également le serveur Web IIS 7.0, lequel accepterait que des applications en ASP.Net puissent compromettre la sécurité du système d'exploitation. Démonstration sera faite, assure Cesar Cerrudo, au cours d'une communication intitulée «Token Kidnapping », qui se tiendra à l'occasion de la prochaine HITBSecConf 2008 de Dubaï. Cerrudo, spécialiste des annonces et des coups d'éclats, avait, fin 2006, tenté de monter une opération « Month of Oracle Bug ». L'opération avait été abandonnée, suite aux pressions organisées par les avocats de Larry Ellison.