Microsoft a beaucoup de monopoles, mais pas celui des failles de sécurité. C'est ce que viennent de rappeler deux ingénieurs de Google, qui ont découvert dans le noyau de Linux une vulnérabilité jugée "critique". Une faille toutefois déjà corrigée.

C’est un débat presque aussi vieux que l’informatique grand public. Windows a-t-il davantage de failles de sécurité parce que sa position dominante incite un grand nombre de hackers à les rechercher avec acharnement, ou Linux est-il intrinsèquement plus sécurisé que le système d’exploitation propriétaire ? Le débat devrait continuer à faire rage.

Alors que Microsoft a réalisé d’énormes progrès dans la sécurité de ses dernières versions de Windows, aujourd’hui rarement prises à défaut, deux ingénieurs de Google ont fourni des gants de boxe aux défenseurs de la firme de Redmond. Julien Tinnes et Tavis Ormandy ont en effet découvert une vulnérabilité critique dans les noyaux du célèbre pingouin libre et open-source. Des failles vieilles de plus de huit ans, qui touchent tous les noyaux 2.4 et 2.6 compilés depuis mai 2001.

C’est la fonction sock_sendpage, chargée de gérer les pointeurs NULL dans les échanges de données par socket, qui est corrompue. Selon les chercheurs, une mauvaise exploitation permettrait à un assaillant de prendre le contrôle de l’ordinateur sous Linux, sans disposer des droits d’administrateur. C’est typiquement le type de faille jugée les plus graves par les experts, mais celle-ci ne permettrait d’obtenir les droits d’administrateur qu’en local, ce qui limite les dégâts.

Les défenseurs de Linux pourront toutefois trouver eux aussi matière à défendre leur champion dans la péripétie. Car si Linux est lui aussi vulnérable, la force de l’open-source fait que les failles sont en général très vite corrigées par la communauté des développeurs bénévoles. Un patch a déjà été développé et validé par Linux Torvalds, le père du noyau le plus scruté au monde.

Ne reste plus qu’à l’appliquer, et le distribuer. Ce qui ne sera pas une mince affaire tant le nombre de machines vulnérables doit être élevé.

Partager sur les réseaux sociaux

Articles liés