Vulnérabilités

Un correctif officiel pour la faille VML

Par Jerome Saiz, le 27 sept 2006 à 10:30:00.

Vulnérabilités

Microsoft n'aura finalement pas attendu la prochaine livraison mensuelle des ses correctifs pour corriger la vulnérabilité VML. Dernière faille majeure en date, celle-ci était déjà bien exploitée sur Internet pour installer des spywares à la visite de sites web piégés. Un correctif officiel est désormais disponible à travers Windows Update.

Il n'aura fallu à Microsoft environ qu'une semaine pour corriger cette faille là.
Il faut dire qu'il y avait urgence : elle était largement exploitée sur Internet et permettait de détourner les PC à la simple visite d'une page web piégée.
Les fournisseurs habituels de spywares et autres codes malicieux s'y intéressaient de près. L'on a même vu durant cette semaine un hébergeur se faire pirater en masse les machines de ses clients (via une faille dans cPanel) afin de les utiliser pour exploiter la vulnérabilité auprès de leurs visiteurs.

Entre temps, des solutions de contournement (autres que de changer de navigateur !) et même un correctif officieux avaient vu le jour. Les esprits étaient encore marqués par la piètre gestion de la faille WMF en début d'année, dont le correctif officiel n'avait que trop traîné tandis que la vulnérabilité faisait les choux gras des escrocs.

Avant d'appliquer ce correctif officiel, n'oubliez pas de désinstaller celui, officieux, que vous auriez pu appliquer, et de remettre en place le fichier de la librairie concernée si vous l'aviez déplacé.
Pour le reste, il est inutile de préciser qu'il s'agit d'une rustine à appliquer immédiatement !

Plus d'information

L'alerte et le correctif sur le site de Microsoft (en français)

Le correctif officiel WMF est disponible (05 jan 2006)
Un correctif embarrassant pour Sun. (13 déc 2002)
Un correctif global pour Internet Explorer (06 oct 2003)
Un correctif global pour Internet Explorer. (07 fév 2003)
Correctif à la faille de transversalité d'IIS. (19 oct 2000)

Cartes blanches

IAM : dépenser moins pour gagner plus Bruno Vincent Une phrase d'Eric Domage, d'IDC, interpelait récemment décideurs et acteurs du marché sur l'importance des coûts et le peu de ROI découlant des projets d'IAM. Bruno Vincent nuance voire réfute en partie, ces propos.	Organisation et sécurité: en finir avec le cloisonnement ! Bruno Vincent DSI,RSSI et Métiers ont encore du mal à collaborer efficacement. Pourtant, l'organisation s'avère être, une fois de plus, la pierre angulaire d'un Système d'Information sûr et aux coûts maîtrisés.
Les RSSI du monde bancaire à l'aube d'une vague de démissions ? Monsieur RSSI Rien ne semble changer en matière de risques et sécurité dans le monde bancaire. Constat désabusé et inquiet d'un RSSI du secteur.	Rififi en vue chez les identités Bruno Vincent Alors qu'OpenID attise l'intérêt des géants de l'informatique, l'acquisition de Credentica par Microsoft laisse augurer d'une possible guerre des « standards » en matière de gestion des identités sur le Web.
>> Plus de Cartes Blanches

Les dossiers Les thématiques

Quel socle de connaissances pour le RSSI ?Les services managés de sécurité à l’age adulte Les botnets se mettent au Web 2.0 Antivirus : la révolution in the cloud

Gestion des Identités et des Accès Les Assises de la Sécurité 2008 Les Interviews Vidéo Prévention des fuites de données (DLP)Virtualisation

espace partenaires

Livres Blancs

Guides

Le Guide Sécurité & Stockage 2009, c'est 290 pages consacrées au marché et à ses acteurs, et 300 entreprises référencées.

Espace membres

Vulnérabilités

Un correctif officiel pour la faille VML

Plus d'information

A voir aussi

Cartes blanches

espace partenaires

Livres Blancs

Guides