publicité

Microsoft : la sécurité mémoire à l'origine de 70% de l'ensemble des bugs de sécurité


Sécurité : Au cours des 12 dernières années, le pourcentage de problèmes liés à la sécurité de la mémoire a oscillé autour de 70% de l'ensemble des bugs détectés.

Environ 70% de toutes les vulnérabilités des produits Microsoft traitées par une mise à jour de sécurité chaque année sont liées à des problèmes de sécurité mémoire. Voilà ce qu'a révélé un ingénieur Microsoft lors d'une conférence thématique dédiée à la sécurité informatique tenue la semaine dernière. Pour rappel, la sécurité de la mémoire est un terme utilisé par les ingénieurs en logiciel et en sécurité pour décrire les applications qui accèdent à la mémoire du système d'exploitation d'une manière qui ne cause pas d'erreurs.



Des bugs de sécurité mémoire se produisent lorsque le logiciel, accidentellement ou intentionnellement, accède à la mémoire système d'une manière qui dépasse sa taille et ses adresses mémoire allouées. Les utilisateurs qui lisent souvent les rapports de vulnérabilités rencontrent certains termes à maintes reprises. Des termes tels que débordement de tampon, condition de course, erreur de page, pointeur nul, épuisement de pile, épuisement de pile, épuisement de tas/corruption, utilisation après libre, ou double libre -, qui relèvent unanimement de vulnérabilités de sécurité mémoire.

Interrogé à ce sujet lors de la conférence BlueHat sur la sécurité organisée en Israël la semaine dernière, l'ingénieur en sécurité de Microsoft Matt Miller a déclaré qu'au cours des 12 dernières années, environ 70% de tous les correctifs publiés par Microsoft ont eu pour but de régler des bugs de sécurité mémoire.

La raison de ce pourcentage élevé est que Windows a été écrit principalement en C et C+++, deux langages de programmation "sans sécurité mémoire" qui permettent aux développeurs de contrôler avec précision les adresses mémoire où leur code peut être exécuté. Une erreur dans le code de gestion de la mémoire des développeurs peut conduire à une série d'erreurs de sécurité mémoire que les attaquants peuvent exploiter avec des conséquences dangereuses et intrusives, telles que l'exécution du code à distance ou l'augmentation des privilèges.

Les erreurs de sécurité mémoire constituent ainsi le terrain de jeu favori pour les pirates, qui semblent capitaliser sur leurs failles. En outre, comme Microsoft a corrigé la plupart des bogues de sécurité mémoire de base, les attaquants et les chasseurs de bugs ont également intensifié leur jeu, passant des erreurs de mémoire de base qui éditent du code dans la mémoire adjacente à des exploitations plus complexes qui exécutent du code aux adresses mémoire souhaitées, une manière idéale de cibler efficacement les autres applications et processus fonctionnant sur ce système.

Article "Microsoft: 70 percent of all security bugs are memory safety issues" traduit et adapté par lighttria.us

A lire aussi :

5 questions de sécurité informatique auxquelles l'entreprise doit pouvoir répondre

Si vous ne pouvez pas répondre à ces questions de base, votre sécurité pourrait être menacée. Et une meilleure sécurité...

Articles relatifs

Contenus sponsorisés

Contenus partenaires

Réagissez à l'article

Connectez vous ou Enregistrez-vous pour commencer la discussion
publicité