Vulnérabilités
Vingt-deux nouvelles vulnérabilités chez Microsoft.
Par Jerome Saiz, le 13 oct 2004 à 11:34:00.
22, voilà les failles ! Microsoft publie une impressionnante série d'alertes avec au total pas moins de vingt-deux nouvelles failles annoncées pour Windows et Internet Explorer. On y trouve de tout, et même le plus improbable, des vulnérabilités dans les dossiers ZIP au Shell lui-même, en passant par les incontournables WebDAV et RPC. Un festival.
A croire que quelqu'un a soulevé un tapis chez Microsoft... L'éditeur annonce vingt-deux nouvelles failles, qu'il publie en neuf bulletins d'alertes distincts. L'une de ces vulnérabiltés date de Windows NT, tandis que les autres frappent le reste de la gamme, de Windows XP et 2000 à Internet Explorer. Sur les neuf bulletins d'alerte publiés par Microsoft, six sont jugés critiques par l'éditeur, et le reste "important".
Toutes ces failles ne sont cependant aussi grave qu'elles en ont l'air. Certaines ne touchent que des services qui ne sont pas activés par défaut sous Windows (NNTP, SNMP...), tandis que d'autres ne peuvent permettre qu'un déni de service ou la divulgation d'informations dans certaines condition. C'est le cas par exemple des failles qui touchent les composants RPC et WebDAV, de grands habitués de la rustine.
Windows lui même est frappé par une série de quatre failles exploitables localement, dont une qui permettrait à un utilisateur de prendre le contrôle du système. Ces vulnérabilités touchent le noyau de Windows lui-même, c'est à dire le Saint des Saints, mais aussi l'affichage des images aux formats WMF et EMF (c'est une faille totalement différente de celle qui affecte déjà l'affichage des images JPEG), la machine virtuelle DOS et une librairie.
Les failles les plus sérieuses frappent, comme à son habitude, le navigateur Internet Explorer, qui offre encore plusieurs belles opportunités de se faire infecter en surfant, ou encore d'être leurré sur une page web pirate en croyant être sur un site officiel.
Mais le système d'exploitation n'est pas épargné lui non plus, avec une faille critique dans la gestion des dossiers compressés et une autre dans le shell de Windows. Dans les deux cas, les failles permettent à un pirate de prendre le contrôle complet du PC.
Microsoft a publié tous les correctifs nécessaires, et il est bien sûr conseillé de les appliquer au plus vite. Certaines de ces failles peuvent être exploitées à distance, simplement en visitant un site web malicieux.
Plus d'information
- La page d'alerte de Microsoft (en Anglais)
Cartes blanches
Rien ne semble changer en matière de risques et sécurité dans le monde bancaire. Constat désabusé et inquiet d'un RSSI du secteur.
Alors qu'OpenID attise l'intérêt des géants de l'informatique, l'acquisition de Credentica par Microsoft laisse augurer d'une possible guerre des « standards » en matière de gestion des identités sur le Web.
Le risque induit par un nouveau projet peut mettre en danger l'entreprise. Une analyse de risque en amont est indispensable.
Les plus lus
Les thématiques
DNS : le pire a été évitéAntivirus : la révolution in the cloudLes botnets se mettent au Web 2.0Faille DNS : ça patche !Hébergement web : les serveurs dédiés victimes d'abusAT&T victime de la faille DNS de KaminskyEva Chen : "Nous perdons la bataille"De bonnes idées chez les concurrentsDécès de Christophe PipparelliUne vulnérabilité zero-day exploitée dans Microsoft Office Acesss
espace partenaires
Livres Blancs
Guides
Le Guide Sécurité & Stockage 2009, c'est 290 pages consacrées au marché et à ses acteurs, et 300 entreprises référencées.
