Cette vulnérabilité a été découverte par la société JAS Advisor, alors qu'elle était mandatée par l'ICANN pour rechercher des vulnérabilités dans les systèmes de cet organisme crucial pour l'Internet, ainsi qu'elle le relate dans un billet de blog.

La vulnérabilité baptisée JASBUG, permet l'exécution de code arbitraire sur la machine attaquée, donc à priori, une prise de contrôle total, à distance. Une faille d'une très grande gravité.

Microsoft reconnaît l'existence de cette faille, qui a été corrigée dans le Tuesday Patch de cette semaine sur toutes les versions de Windows affectées... sauf Windows Server 2003.

Le patch arrivera-t-il un peu plus tard se demandent tous les administrateurs anxieux de protéger leurs systèmes ?

La réponse est non. Microsoft ne comblera pas cette faille, car c'est trop difficile. La faille ne se situe pas dans un morceau de code mal écrit devant être corrigé. Il se situe dans la conception même de Windows 2003.

C'est Microsoft elle-même qui l'avoue (voir dans la section Update FAQ). Corriger le problème nécessiterait de repenser l'architecture du système. Non seulement le travail est énorme, mais même s'il était fait, il n'y aurait aucune garantie que le système n'en serait pas déstabilisé et que les applications conçues pour Windows 2003 continuent de fonctionner correctement.

Les jours de Windows 2003 sont donc comptés et les entreprises et les administrateurs système vont connaître quelques cauchemars et nuits blanches pour faire dans l'urgence leurs mises à jour vers une mouture plus récente de Windows Server.

Source JAS Advisor via developpez.com.