Intrapole
VOUS  TES ICI : Accueil » Intrapole » Actualité »

Microsoft corrige en urgence une faille critique de sécurité

Edition du 28/09/2010 - par IDG News Service / MG

De façon exceptionnelle, l’éditeur de Windows livrera ce soir, à 19 heures (à Paris), une mise à jour sur son centre de téléchargement afin que les grandes entreprises, les hébergeurs et les éditeurs indépendants puissent protéger leurs environnements le plus rapidement possible.

Microsoft met le turbo pour rectifier un bug qui affecte ASP.net, la technologie utilisée, côté serveur, pour le développement d’applications web. Pour l’instant, l’éditeur dit n’avoir constaté qu’une exploitation limitée de la faille dans des attaques en ligne, mais le problème est suffisamment sérieux pour que la société décide d’accélérer l’allure afin de livrer la parade avant sa prochaine mise à jour programmée, prévue pour le 12 octobre.

Le bug fournit aux hackers un moyen d’accéder aux fichiers protégés ou de lire des données chiffrées envoyées par un serveur d’application ASP.net. Il y a quelques jours, des experts ont montré comment l’attaque pouvait être exploitée pour s’emparer de cookies chiffrés ou même de noms d’utilisateurs et de mots de passe sur des sites web.

Disponible d’abord sur le centre de téléchargement

Il arrive occasionnellement à Microsoft d’effectuer ces mises à jour en dehors de son calendrier habituel lorsqu’il a identifié un problème de sécurité important. Mais cette livraison-là revêt un caractère particulier. Pour la première fois, l’éditeur mettra d’abord sa rustine à disposition sur son centre de téléchargement (Microsoft Download Center), utilisé par les grands comptes qui souhaitent tester les rustines avant de les installer manuellement à l’échelle de l’entreprise.

« Cela nous permet de sortir le correctif aussi vite que possible et d’offrir aux administrateurs et aux utilisateurs qui veulent l’installer manuellement la possibilité de le tester et de mettre à jour leurs systèmes immédiatement, a indiqué hier Microsoft dans un billet de blog. L’éditeur encourage vivement ses grands clients à télécharger et tester ce correctif dans leur environnement afin de le déployer dans les meilleurs délais.

Pour la majorité des utilisateurs qui s’appuient sur les mises à jour automatiques, le correctif n’arrivera que dans quelques jours. Toutefois, ceux-ci ne risquent d’être affectés par le bug que s’ils exploitent un serveur web sur leur ordinateur.

Le correctif téléchargeable ce soir en France

La mise à jour sera disponible au téléchargement à 19 heures à Paris (10 a.m. Pacific Time). Microsoft n’a pas fourni de date pour la mise à jour automatique, plus largement diffusée.

« C’est la première fois que nous livrons un correctif de cette façon, mais en raison de la nature des attaques et la gravité des pertes de données encourues, nous fournissons d’abord la mise à jour de sécurité pour que les clients (grandes entreprises, hébergeurs, éditeurs indépendants) puissent commencer à intervenir, a précisé Microsoft. Dans quelques jours, nous fournirons le correctif à nos autres canaux de distribution. »

Source : lemondeinformatique