Rustines de janvier met l’exploit de côté

Actualités - Alerte - Posté on 10 Jan 2012 at 11:16 par Solange Belkhayat-Fuchs

Chez Microsoft, 7 bouchons pour 8 trous : la fièvre des cumulatifs faiblit un peu, probablement en raison de la publication, avant le saut de l’an, du seul « out of band » de 2011. Un « hors calendrier » qui fait encore parler de lui car, comme l’explique brièvement Manuel Humberto Santander Peláez du Sans Institute, son exploit aurait été rendu public depuis quelques jours.

Pour ce qui concerne les bugs de l’année nouvelle, les experts s’accordent au moins sur un point : deux d’entre eux sont à corriger immédiatement. Il s’agit de MS12-004 et MS12-005 (affectant respectivement Windows Media et « Windows » sans précision particulière). L’écriture d’un exploit visant la vulnérabilité 004 appartient au domaine du possible, précise le tableau de dangerosité établi par le Response Team de Microsoft. C’est d’ailleurs la seule considérée comme étant « critique » par Microsoft, alors qu’une vaste majorité de spécialistes estime qu’il y a danger d’exploitation de la faille 005.

On note également la présence d’un correctif récurrent, MS12-006, qui corrige une nouvelle fois SSL/TLS, sans oublier la traditionnelle faille I.E. MS12-007 sans laquelle un « patch Tuesday » ne serait plus un « patch Tuesday ». Détail savoureux, le trou de sécurité en question se situe dans un outil de protection : 007 (nom de code Bond) affecte la bibliothèque de fonctions « antiXSS ».

Adobe, pour sa part, ne déclare ce mois-ci que 6 vulnérabilités, dont une rendue publique début décembre et qui était demeurée en souffrance de colmatage. Sauf alerte particulièrement dangereuse, le prochain bulletin de sécurité concernant Acrobat et le « Reader » sera sous presse le 10 avril prochain.

Laisser une réponse