Ce correctif de Microsoft Defender cache un défaut qui pourrait paralyser votre PC
L'antivirus de Windows 11 vient de recevoir un correctif attendu depuis des semaines. Un chercheur en sécurité s'est penché dessus et a découvert un problème que Microsoft n'avait pas anticipé. Le patch protège bel et bien la faille d'origine, seulement il en laisse traîner une autre.

Les logiciels de protection intégrés aux systèmes d'exploitation occupent une place à part. Microsoft Defender tourne en permanence sur des centaines de millions de PC, avec les droits les plus élevés. Cette position privilégiée attire logiquement les chercheurs en sécurité. Le moindre défaut se transforme aussitôt en boulevard pour les pirates. Une faille baptisée RoguePlanet donnait le contrôle total d'un PC aux attaquants le mois dernier, en détournant précisément cet antivirus. Aucun correctif n'existait alors.
Microsoft a fini par livrer son patch la semaine dernière. Le moteur de protection antimalware de Microsoft Defender passe en version 1.1.26060.3008. La diffusion se fait automatiquement, à travers les mises à jour de sécurité habituelles. Toutes les moutures antérieures restent vulnérables. Le rythme des alertes autour de ce bouclier maison ne faiblit pas. Les autorités américaines avaient de leur côté repéré deux vulnérabilités sérieuses dans Windows Defender au printemps, avec un correctif à installer sans attendre.
Microsoft Defender peut remplir tout le disque dur d'un PC sous Windows 11
Le correctif de Microsoft Defender n'a pourtant pas réglé tous les problèmes. Selon le billet de blog publié par le chercheur Nightmare-Eclipse, le patch provoque une fuite de huit octets de données. Elle reste peu exploitable pour l'instant. Le second problème inquiète davantage. L'antivirus applique des limites strictes sur la taille des fichiers analysés et mis en quarantaine, précisément pour ne pas saturer le disque. Ces plafonds ne s'appliqueraient pas au marqueur caché que Windows attache aux téléchargements pour en mémoriser la provenance.
Un pirate peut donc piéger un serveur avec un fichier accompagné d'une version géante de ce marqueur. Il bloque ensuite volontairement la lecture, tout en gardant la connexion ouverte. Microsoft Defender garde alors les fichiers en cache et remplit le stockage jusqu'à la dernière miette d'espace libre. Le chercheur affirme avoir reproduit le scénario sur Windows 11 25H2. La machine ne plante pas pour autant. Les applications et les services commencent seulement à tomber au hasard, une fois le disque saturé. L'éditeur de Redmond n'a fait aucun commentaire public sur cette découverte.