Un bug fait planter Windows 7 et 8 rien qu’en visitant une page web

Un bug fait planter Windows 7 et 8 rien qu’en visitant une page web

Un nom de fichier mal formé fait entrer le système d’exploitation dans une boucle infinie. Seule issue : le redémarrage de la machine.

Les petits farceurs ont de nouveau de quoi se mettre sous la dent. Comme le relate Ars Technica, un chercheur en sécurité russe a découvert un bug dans Windows 7 et 8.1 qui permet de ralentir voire planter le système d’exploitation rien qu’en visitant une page web. Il suffit pour cela d’y insérer une balise d’image avec comme nom de fichier « c:\$MFT\123 ». Le driver NTFS de Windows va alors se retrouver scotché. Au final, un écran bleu apparaîtra.

Pourquoi ? $MFT est un fichier système qui n’est accessible ni à l’utilisateur, ni à la plupart des logiciels installés. Il est situé à la racine de tous les volumes NTFS et indexe tous les fichiers qui s’y trouve. C’est un rouage essentiel de Windows et on comprend mieux pourquoi l’accès à ce fichier est généralement bloqué. Bizarrement, si on fait comme si $MFT était un répertoire et qu’on essaye d’accéder à un fichier imaginaire qui s’y trouverait, le système se retrouve dans une boucle infinie dont il ne sortira qu’après un redémarrage. Le bug se déclenche lorsqu’on rentre ce chemin de fichier à la main. Il fonctionne également à distance, s’il est inséré dans une page web. Bleeping Computers a confirmé le bug au travers d’Internet Explorer et Firefox. Chrome, en revanche, ne se laisse pas berner. Le navigateur de Google voit que le chemin n’est pas correct et bloque l’accès.

Ce bug fait étrangement penser à un problème similaire qui existait il y a vingt ans dans les systèmes Windows 95 et 98. A l’époque, il suffisait de rentrer « c:\con\con » dans l’outil de recherche pour immédiatement faire planter la machine. Là encore, le bug s’appuyait sur une référence spéciale, « con », qui n’est pas un vrai fichier mais qui représente une console connectée à la machine.

Concernant ce nouveau problème de blocage, aucun patch n’a pour l’instant été diffusé par Microsoft.