 |
|
|
| |
|
|
| Sommaire Sécurité |
|
| Microsoft corrige ses failles tardivement |
| Confronté à de nombreuses failles sur ses produits, Microsoft était attendu de pied ferme, notamment sur la vulnérabilité CreateTextRange. Lors de sa mise à jour mensuelle, l'éditeur corrige 3 failles critiques.
(13/04/2006) |
|
La mise à jour Microsoft publiée le mardi 12 avril 2006 n'était pas anodine. Ces corrections mensuelles corrigent pas moins de dix vulnérabilités d'Internet Explorer. Au total, Microsoft délivre cinq patchs dont trois critiques, un important et un modéré.
La mise à jour MS06-013 pour Internet Explorer corrige ainsi dix failles de sécurité qui permettaient, pour la plupart, l'exécution de codes malveillants.
Parmi ces failles, la vulnérabilité "CreateTextRange" : le problème résulte d'une erreur présente au niveau de la gestion de certains appels "createTextRange" malformés. Ces appels pouvaient être exploités par des cyber-criminels afin d'exécuter des commandes arbitraires lors de la consultation d'une page Web par un internaute.
Suite à sa publication sur des sites Web spécialisés, de nombreux logiciels espions et logiciels publicitaires en ont fait l'usage pour installer leur produit à l'insu des internautes. Deux éditeurs de sécurité - eEye Digital Security et Determina - ont fournis avant Microsoft un correctif de sécurité temporaire.
La mise à jour contient également deux patches pour le système Windows (MS06-014 et MS06-015). Deux failles critiques permettent l'exécution de code à distance. L'une est spécifique au Microsoft Data Access Components (MDAC) - qui permet entre autre d'effectuer ce type d'opération sur des bases de données - tandis que l'autre touche l'explorateur Windows.
| Après la faille WMF, Microsoft ne semble pas plus réactif face aux vulnérabilités majeures de ses produits |
La mise à jour sur Outlook Express (MS06-016) corrige une vulnérabilité importante qu'un attaquant peut utiliser afin de prendre le contrôle intégral d'un système affecté.
Enfin, le dernier bulletin de sécurité Microsoft MS06-017 propose un patch qui fait disparaître une vulnérabilité de transfert de script entre sites - cross-site scripting - dans les extensions serveur de l'application FrontPage. Cette faille laisse la possibilité à un tiers d'exécuter un script comme si l'utilisateur était connecté en local.
Le nombre important de vulnérabilités mises en évidence le mois passé et le temps de correction ne redore pas l'image de l'éditeur américain. La vulnérabilité WMF (lire l'article du 23/03/2006) ou la faille plus récente "Create TextRange" exigeaient plus de rapidité dans la construction d'un patch au vu de la dangerosité de celles-ci.
|
| |
| |
|
|
|
|
|
|
Dossier 
