Intrapole
VOUS  TES ICI : Accueil » Intrapole » Actualité »

Le prochain bulletin de sécurité de Microsoft ne corrigera pas les dernières failles de Windows et IE

par la rédaction, ZDNet France. Publié le 7 janvier 2011

Sécurité - Le prochain patch tuesday de Microsoft ne proposera que deux bulletins de sécurité, l’un critique et l’autre important.

Microsoft ne brille toujours pas par sa réactivité en matière de sécurité. Le prochain bulletin de sécurité de l’éditeur ne corrigera en effet pas les deux failles béantes découvertes il y a quelques semaines impactant Windows et Internet Explorer.

D’ailleurs, le patch tuesday qui sera publié mardi prochain ne comportera que deux bulletin. Le premier, qualifié de critique, se penchera sur des vulnérabilités impactant Windows XP, Vista et 7. Le second, considéré comme important, corrigera des trous de sécurité dans les versions serveur de Windows.

Exécution de code à distance

Il faudra donc patienter pour que soit comblé la faille béante impactant Windows, faille datant d’un mois, qui a été confirmée par Microsoft il y a quelques jours. Celle-ci affecte les versions poste de travail Windows XP et Vista ainsi que les éditions serveur 2003 et 2008. Windows 7 et Server 2008 R2 ne sont en revanche pas concernés.

La vulnérabilité se situe au niveau du moteur de rendu graphique de Windows (GRE) précise Microsoft. Elle permet d’exploiter le système de prévisualisation de Windows pour exécuter du code sur une machine vulnérable et ainsi installer des programmes, modifier des données ou encore créer des comptes utilisateurs dotés de droits administrateurs.

Cette vulnérabilité n’est pas nouvelle puisqu’elle avait été dévoilée le 15 décembre 2010 à l’occasion d’une conférence sur la sécurité qui se tenait en Corée du Sud. C’est la publication d’un exploit pour le logiciel Metasploit qui a vraisemblablement contraint Microsoft à publier un bulletin d’alerte et ainsi à confirmer l’existence de la faille dans l’OS.

Il faudra également attendre pour qu’Internet Explorer soit patché. Le navigateur (versions 6,7 et 8) souffre d’une faille permettant l’exécution de code à distance via la mémoire utilisée par une feuille de style CSS.

Windows XP, Windows Vista, Windows 7, Windows Server 2003 et 2008 sont concernés mais Microsoft indique ne pas avoir connaissance d’une tentative d’attaque exploitant cette vulnérabilité.

Source : zdnet.fr