Microsoft présente le pré-Patch de l'été

le 09/07/2010 à 18:10
Microsoft présente le pré-Patch de l'été
La firme de Redmond annonce un patch léger pour le mois de juillet. Microsoft devrait corriger 5 vulnérabilités dont 3 sont classées critiques. A la loupe, Windows et Office sont concernés dans ce patch de sécurité mensuel.

Au sommaire, 3 bulletins sont classés comme critiques pour Windows XP, Windows 7, Windows Server 2008 R2 et Office. Le quatrième est classé comme important. Les autres produits concernés par ces correctifs sont Windows Server 2003, Office XP Service Pack 3, Office 2003 Service Pack 3 et 2007 Service Pack 1 et Service Pack 2.

Microsoft donne le détail de toutes ces mises à jour sur son site et précise la nature des vulnérabilités.

A lire également

La firme présente les mises à jour de sécurité pour le mois de septembre. Comme prévu, 4 bulletins critiques concernent Windows XP pour les Service Pack 2 et 3 tout comme Windows Vista dans les versions SP1 et SP2 et Windows Server 2003 et 2008. Comme nous l'avions déjà mentionné, les éditions 32 et 64 bits sont prises en charge dans cette série de mise à jour. De même, Office est également concerné dans ses versions 2002, 2003 et 2007 pour Outlook.

Voilà pour ce qui était prévu. Microsoft a donné plus de précisions sur la mise à jour critique MS10-061. Le site officiel TechNet rappelle qu'elle corrige une vulnérabilité 0-day que Stuxnet pouvait utiliser. Pour rappel, ce malware avait fait parler de lui puisqu'il était soupçonné d'avoir été utilisé pour visiter des installations industrielles aux Etats-Unis et même en Iran.

Précisément, la mise à jour pallie à une vulnérabilité dans le service Spouleur d'impression. De même, tous les systèmes d'exploitation Windows sont concernés.
Microsoft rendait public hier soir la présence d'une nouvelle faille de sécurité dans son navigateur vedette, Internet Explorer. Affectant toutes les versions d'Internet Explorer, et toutes les versions de Windows, cette brèche de sécurité permet à une personne malintentionnée d'accéder à l'ensemble des fichiers présents sur la machine concernée. La bonne nouvelle tout de même, car il y en a une, c'est que le mode d'exécution protégé d'Internet Explorer sur les systèmes d'exploitation Windows Vista, Windows Server 2008 et Windows 7 rend la faille inexploitable.

Toutefois ce n'est pas le cas sous Windows XP, où le problème est jugé très sérieux. En attendant la publication d'un correctif, qui interviendra à une date non encore déterminée, Microsoft propose une solution pour les systèmes Windows XP via un assistant effectuant certains réglages dans la base de registre afin de verrouiller les protocoles réseau nécessaires. Le bulletin de sécurité concernant ce problème se trouve ici.

À l'occasion de cette énième faille de sécurité, nous avons pu nous entretenir avec Bernard Ourghanlian, responsable des problématiques sécurité pour Microsoft France.Clubic.com : Cette nouvelle faille d'Internet Explorer remet sur le devant de la scène la vétusté d'Internet Explorer 6.0. Ne serait-il pas temps de s'en débarrasser ?Bernard Ourghanlian : Très franchement, nous aimerions bien nous débarrasser d'Internet Explorer 6.0, mais on ne peut tout simplement pas. En entreprise, déployer un nouveau navigateur est un énorme travail. Tant que Windows XP sera supporté par Microsoft, Internet Explorer 6.0 le sera également. La date de fin de support de Windows XP court jusqu'en 2014.Clubic.com : N'est-il pas temps également d'abandonner définitivement le moteur de rendu Trident d'Internet Explorer et d'en écrire... un nouveau ?Bernard Ourghanlian : Nous touchons ici à une problématique de l'héritage. Il est certain que si nous devions réécrire Windows par exemple, nous ne le ferions plus de la même façon. Le code d'Internet Explorer est certes, pour partie, ancien mais il rend des services à des millions de gens à travers le monde. Pour reprendre l'exemple de Windows, nous savons tous que l'avenir est au code managé et nous serions ravi de proposer une version de Windows en .NET. Hélas, on ne peut pas car il faut assurer la compatibilité avec le passé. Et d'une manière générale, c'est compliqué de maintenir la compatibilité avec le passé.

Pour en revenir à Internet Explorer, on va de toute façon abandonner Trident avec la prochaine version d'Internet Explorer. Non seulement pour des problématiques de performance mais également pour se conformer aux nouveaux standards du web.Clubic.com : Les récentes failles d'Internet Explorer montrent que le modèle du Patch Tuesday a peut être vécu. Est-ce le cas ?Bernard Ourghanlian : Non. Le Patch Tuesday reste d'actualité, pour preuve un certain nombre de sociétés ont adopté un modèle similaire. Notre initiative est suivie et présente beaucoup d'avantages. Elle permet notamment aux entreprises de se préparer grâce au notification en avance de phase. Toutefois on sait que dans un certain nombre de cas le fait de publier un rapport de vulnérabilité va entraîner à très court terme des attaques tirant parti de la faille documents. Nous essayons donc en général de corriger plusieurs failles en même temps afin de rendre plus complexe le travail de reverse engineering. D'une manière générale, la sécurité est une grande école de l'humilité. Tôt ou tard, on sait très bien que tel nouvel algorithme ou tel nouvelle technique présentée comme inviolable sera contournée.

Commentaires

Ecrire

Ecrire un message

Votre message vient d'être créé avec succès.
LoadingChargement en cours