Risque
Atteinte à la confidentialité des données.
Systèmes affectés
Toutes les versions françaises de Microsoft Windows hormis Windows Vista.
Résumé
Une faiblesse dans le composant Protected Storage de Microsoft Windows permet à un utilisateur malintentionné de porter atteinte à la confidentialité de certaines données du système.
Description
Microsoft a implanté le mécanisme de Protected Storage (PStore) au sein de systèmes d'exploitation aujourd'hui obsolètes. Pour des raisons liées à la législation française jusqu'en 1999, la cryptographie de PStore avait été modifiée par Microsoft. Depuis, la législation française s'est assouplie et il n'était plus nécessaire pour Microsoft de conserver dans ses systèmes d'exploitation cette version particulière du Protected Storage. Cependant, celle-ci a perduré jusqu'à la version XP Service Pack 2 de Microsoft Windows. Ce correctif permet donc de combler ce retard.
Indépendement de ce correctif, le CERTA rappelle qu'il n'est pas recommandé d'utiliser le mécanisme du Protected Storage qui n'offre qu'une faible protection des éléments secrets de l'utilisateur d'une machine.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Page de téléchargement de la mise à jour Microsoft :
http://www.microsoft.com/downloads/details.aspx?displaylang=fr&FamilyID=c99e2424-d5d8-4828-8133-3451ed66a7e1
- Entrée dans la base de connaissances Microsoft KB955417 du 04 août 2008 :
http://support.microsoft.com/kb/955417/fr