Igor Franchuk a découvert qu'il était possible de rendre invisible des informations dans la base de registre en créant des clés excédant la valeur maximale permise par l'éditeur de base de registre Regedt32.exe livré avec les systèmes d'exploitations Windows 2000 et Windows XP de Microsoft.

Il n'y aurait pour le moment aucun correctif à ce bogue. D'après les tests menés par Jokuhech avec Regedit.exe (autre éditeur de la BDR de Microsoft), celui-ci serait aussi faillible. En revanche et contrairement à Regedt32.exe et Regedit.exe, les utilitaires reg de Microsoft et Autoruns (freeware de Sysinternals) ne seraient pas bernés par ce tour de passe-passe.

Bien que ce malencontreux bogue ne soit pas d'une grande importance en soi (classifié risque bas par le FrSIRT), il permet à un installeur de modifier la base de registre sans que les modifications effectuées soient facilement décelable à un utilisateur. particularité qui pourrait rendre cette faille très populaire chez les pirates de tout poil et les créateurs de nuisances pour Windows.
On pourrait se consoler en pensant qu'il reste toujours le gestionnaire de tâches pour afficher un programme ou procssus silencieusement lancé au démarrage, mais il a aussi été démontré (sic) qu'il était aussi possible de masquer des processus devant s'afficher dans gestionnaire de tâches (par exemple à l'aide d'un rootkit).

Références :
- [Full-disclosure] Miscrosoft Registry Editor 5.1/XP/2K long string key vulnerability sur la liste full disclosure
- Windows Registry Editor Utility String Concealment Weakness sur Secunia
- Microsoft Windows Registry Editor Utility Key Hiding Vulnerability sur le site du FrSIRT