Vulnérabilités
Un correctif officiel pour la faille VML
Par Jerome Saiz, le 27 sept 2006 à 10:30:00.
Microsoft n'aura finalement pas attendu la prochaine livraison mensuelle des ses correctifs pour corriger la vulnérabilité VML. Dernière faille majeure en date, celle-ci était déjà bien exploitée sur Internet pour installer des spywares à la visite de sites web piégés. Un correctif officiel est désormais disponible à travers Windows Update.
Il n'aura fallu à Microsoft environ qu'une semaine pour corriger cette faille là.
Il faut dire qu'il y avait urgence : elle était largement exploitée sur Internet et permettait de détourner les PC à la simple visite d'une page web piégée.
Les fournisseurs habituels de spywares et autres codes malicieux s'y intéressaient de près. L'on a même vu durant cette semaine un hébergeur se faire pirater en masse les machines de ses clients (via une faille dans cPanel) afin de les utiliser pour exploiter la vulnérabilité auprès de leurs visiteurs.
Entre temps, des solutions de contournement (autres que de changer de navigateur !) et même un correctif officieux avaient vu le jour. Les esprits étaient encore marqués par la piètre gestion de la faille WMF en début d'année, dont le correctif officiel n'avait que trop traîné tandis que la vulnérabilité faisait les choux gras des escrocs.
Avant d'appliquer ce correctif officiel, n'oubliez pas de désinstaller celui, officieux, que vous auriez pu appliquer, et de remettre en place le fichier de la librairie concernée si vous l'aviez déplacé.
Pour le reste, il est inutile de préciser qu'il s'agit d'une rustine à appliquer immédiatement !
Plus d'information
- L'alerte et le correctif sur le site de Microsoft (en français)
Cartes blanches
Rien ne semble changer en matière de risques et sécurité dans le monde bancaire. Constat désabusé et inquiet d'un RSSI du secteur.
Alors qu'OpenID attise l'intérêt des géants de l'informatique, l'acquisition de Credentica par Microsoft laisse augurer d'une possible guerre des « standards » en matière de gestion des identités sur le Web.
Le risque induit par un nouveau projet peut mettre en danger l'entreprise. Une analyse de risque en amont est indispensable.
Les plus lus
Les thématiques
DNS : le pire a été évitéLes botnets se mettent au Web 2.0Faille DNS : ça patche !Hébergement web : les serveurs dédiés victimes d'abusAT&T victime de la faille DNS de KaminskyDécès de Christophe PipparelliUne vulnérabilité zero-day exploitée dans Microsoft Office AcesssKraken, le poids-lourd des botnetsUne vulnérabilité PDF pour les BlackBerryAvi Chesla : "La nouvelle vague de bots passe à l'Ajax"
espace partenaires
Livres Blancs
Guides
Le Guide Sécurité & Stockage 2009, c'est 290 pages consacrées au marché et à ses acteurs, et 300 entreprises référencées.
