Microsoft comble une faille de Windows 2000

le 28/04/2010 à 20:05
Microsoft comble une faille de Windows 2000
Le nouveau patch Windows 2000 est arrivé. Après avoir été retiré, Microsoft annonce que le correctif MS10-025 a été réédité. Accusé de ne pas corriger la vulnérabilité critique concernée, le MSRC (Microsoft Security Response Center) avait été contraint de le retirer, quelques jours après le Patch Tuesday.

Cette fois la mise à jour de sécurité a été… mise à jour. Toujours sous le terme MS10-025, elle corrige un dépassement de pile dans Windows Media Services uniquement sur Windows 2000 Server.

Microsoft a donc tenu à réagir rapidement pour combler sa bourde même si, à l'heure actuelle, peu de postes utilisent encore cette version vieille de 10 ans. Heureusement que le patch ne concernait pas de programmes plus récents ou plus populaires.

A lire également

Comme chaque deuxième mardi du mois, Microsoft a mis en ligne cette semaine la fournée mensuelle des correctifs de sécurité qu'il réserve à ses principaux logiciels, Windows en tête. Pour juillet, six patches sont proposés au téléchargement, de façon à combler neuf failles de sécurité, dont deux sont déjà exploitées aujourd'hui sur Internet. Les principales versions de Windows, de 2000 à Vista en passant par Server 2003 et Server 2008, profitent de ces mises à jour.

En tête d'affiche, on retrouve des vulnérabilités largement médiatisées dans la presse spécialisée depuis quelques jours. Sont notamment concernés le controversé composant ActiveX (destiné à permettre le dialogue entre le navigateur Internet Explorer et d'autres programmes), ainsi que l'interface DirectShow, dédiée à la prise en charge de flux multimédias. Dans les deux cas, la mise en ligne d'un contenu spécialement piégé permettait à un attaquant de faire exécuter du code malveillant sur la machine de l'internaute.

Le moteur de gestion des pilotes OpenType souffrait également d'une faille qualifiée de critique, susceptible de permettre l'exécution de code à distance, qui se voit aujourd'hui corrigée. Enfin, Office Publisher, Internet Security and Acceleration (ISA) Server 2006 et Virtual PC profitent de mises à jour, pour des vulnérabilités qualifiées d'importantes. On pourra rapatrier ces rustines via le module Windows Update, et consulter le descriptif des failles évoquées ici via ce lien (anglais).
Qualifiée de critique et affectant toutes les versions d'Internet Explorer, la faille de sécurité qui aurait été exploitée dans le cadre des attaques informatiques menées contre Google et d'autres grandes sociétés a comme prévu été corrigée dans la nuit par Microsoft, qui met à disposition des internautes un correctif à télécharger dès à présent.

Toutes les versions du navigateur sont concernées, depuis la 5.01 jusqu'à la 8, sur l'ensemble des systèmes Windows depuis Windows 2000 SP4, en 32 comme en 64 bits. Même si dans certains cas, l'éditeur indique le danger est plus limité, notamment sur la dernière mouture en date d'Internet Explorer, tous sont invités à procéder à la mise à jour sans délai.

La vulnérabilité découverte le 11 janvier dernier permet l'exécution de code local à distance, susceptible d'entrainer la prise de contrôle à distance d'une machine infectée par le biais d'une page Web spécialement conçue. L'affaire a rapidement pris un tour politique, ainsi qu'à un très fort écho médiatique, dès que Microsoft a publiquement reconnu que la faille avait pu jouer un rôle dans la vague d'attaque visant Google, conduisant même des pays comme la France, l'Allemagne ou l'Australie a temporairement déconseiller l'utilisation d'Internet Explorer.

Les internautes chez qui Windows est réglé pour installer automatiquement les correctifs de sécurité la récupèreront automatiquement. Les autres sont invités à lancer l'utilitaire de mise à jour et à sélectionner puis installer le patch relatif à Internet Explorer qui leur sera proposé.

Commentaires

Ecrire

Ecrire un message

Votre message vient d'être créé avec succès.
LoadingChargement en cours