Microsoft corrige 19 failles de sécurité dont 5 critiques
La dernière mise à jour de sécurité de Microsoft n'était visiblement pas du luxe.
"C'est un gros paquet désordonné", affirme Eric Schultze de Shavlik Technologie, "tout, à part Internet Explorer, est impacté par cette mise à jour".
Josh Abraham, chercheur au cabinet spécialisé en sécurité informatique Rapid7, est du même avis : "il y a des tonnes de trucs et pour tout le monde".
De fait, dix-neuf failles sont ainsi corrigées par ce patch, dont cinq sont dites "critiques" - degré de danger le plus haut - par les équipes de Microsoft elles-mêmes.
Ces cinq failles concernent des vulnérabilités dans les Active Template Library (ATL).
Les ATL sont présents dans plusieurs produits de Microsoft mais également dans ceux d'autres compagnies (Adobe pour n'en citer qu'une).
"Vue l'étendue des technologies touchées, on peut imaginer les efforts qu'il va falloir fournir pour diagnostiquer, recompiler, tester, redistribuer les applications touchées", constate Sheldon Malm, directeur des stratégies de sécurité chez Rapid7. "Microsoft a clairement senti qu'il y avait un gros problème pour ses clients en essayant de mettre de l'ordre là-dedans."
La grosse part de l'update (MS09-037) s'occupe donc des ATL.
Pour autant elle ne serait pas complète.
Andrew Storms, directeur des opérations de Circle Network Security s'étonne : "On attendait un correctif pour un tas d'ATL, au lieu de quoi on n'en a que cinq. Mais j'ai bon espoir de voir Microsoft corriger de plus en plus d'ATL dans les deux prochains mois."
Les failles dans les ATL avaient déjà été colmatées par un précédent patch.
Celui-ci n'était visiblement pas assez efficace.
Microsoft admet en effet que cette ancienne correction n'a pas permis d'enrayer les attaques.
Un autre rectificatif majeur de l'Update du mois d'Aout touche au Windows Internet Name Service (WINS).
"Le coté négatif : il reste deux exploits", constate Sheldon Malm de Rapid 7, "Le coté positif : WINS n'est pas installé par défaut et ne devrait a priori pas l'être".
La mise à jour parue hier concerne également plusieurs éléments cruciaux de Windows, Windows Media Player, Outlook Express, IIS (Internet Information Server) et Microsoft Office.
La faute, pour ces applications, aux Office Web Components (OWC) inclus dans ActiveX.
Enfin, la dernière faille corrigée, et non des moindres pour le grand public, touche le format vidéo AVI.
"C'est l'exemple classique d'un bug de format vidéo qui fait que dès que vous visionnez un film corrompu, vous êtes cuit" analyse Andrew Storms.
Pour lui, cette faille est une porte d'entrée idéale pour les vers en tout genre.
Espérons donc que cette mise à jour sera appliquée par le plus grand nombre.
Le correctif d'août est téléchargeable via Microsoft Update, Windows Update et Windows Server Update Services.
Et vous ? :
Considérez-vous que ces mises à jours sont une usine à gaz ?
A en croire les experts en sécurité l'update ne corrige pas toutes les failles : d'après vous Windows est-il un OS vraiment sûr ?
Source :
La page officielle de Microsoft sur l'update du mois d'Aout.
A lire aussi :
Toute l'actualité et les forums Windows sur Developpez.com
Microsoft corrige 19 failles de sécurité dont 5 critiques
Notamment dans les ATL (Active Template Library)
Microsoft corrige 19 failles de sécurité dont 5 critiques
Notamment dans les ATL (Active Template Library)
Le , par Gordon Fowler
Une erreur dans cette actualité ? Signalez-nous-la !