Le mardi, c'est spaghetti
Les codes spaghetti du mardi des rustines font immanquablement parler d'eux dans les 7 à 15 jours suivant leur publication. Avec notamment un petit JavaScript tueur d'I.E. rédigé tel un haiku par Alla Bezroutchko, de la société Belge Scanit. Voilà pour la MS07-042. Egalement sur la sellette, la MS07-049, qui fait l'objet d'une analyse approfondie de la part de Bruno Kerouanton. L'illusion de sécurité qu'offrent les principaux outils de virtualisation n'est en grande partie provoquée que par l'opacité des mécanismes internes. Comme l'explique Kerouanton, cette virtualité est très relative, puiqu'immanquablement, le poste -client ou serveur-, « encoquillé » dans sa bulle VM doit nécessairement converser avec des ressources bien réelles, celles de la vraie vie : disque, segments mémoire, I/O diverses (série, parallèle, usb...) processeur... Or, pour héberger plusieurs serveurs dans les chaussons d'une seule machine, il faut bien recourir à des astuces qui, à leur tour, vont « simuler » des espaces mémoire toujours vierges, des processeurs toujours disponibles, des entrées-sorties éternellement prêtes, autant de merveilles qui ne sont possible que grâce à l'utilisation de mécanisme de « task and memory swapping ». Et c'est à partir de ce moment que les choses se compliquent. S'ajoutent à ces points de vulnérabilité potentiels les dangers probables liés aux outils de communications inter-proccessus. Les premiers hacks visant les ancêtres de la virtualisation - les premiers « multitâches » tels que TopView ou DeskView- visaient précisément les « mail slot » chargés de l'échange inter-tâches.
