Un ZDE et 8 autres trous colmatés mardi prochain

Actualités - Alerte - Posté on 05 Fév 2010 at 2:22 par cnis-mag

Microsoft fête un nouveau record : le troisième ZDE révélé en moins de 50 jours. Cette fois, nous apprend le blog du MSRC, il s’agit d’une faille affectant encore Internet Explorer, et offrant à un attaquant distant la possibilité de télécharger des fichiers pour peu qu’il en connaisse le nom. Compte tenu de l’absence d’exploitation « dans la nature », de la proximité du prochain mardi des rustines et du fait que ce trou ne peut être exploité que sur des noyaux antérieurs à Vista, aucun correctif out of band ne sera émis par l’éditeur. En attendant, un bulletin d’alerte 98008 fournit quelques informations complémentaires et offre quelques conseils de sécurité à appliquer sur les anciennes architectures.

Sera également colmatée une faille « noyau » concernant tous les systèmes 32 bits –y compris Windows 7- pouvant conduire à une élévation de privilège. Là encore, un bulletin d’alerte 979682 a été publié, conseillant aux utilisateur de désactiver le ntvdm chargé de l’exécution des programmes 16 bits (logiciels hérités). Cette alerte, rappelons-le, avait fait l’objet d’un article très complet de la part de Sylvain Sarmejeanne sur le blog du Cert Lexsi. Précisons que les utilisateurs des versions « home » d’entrée de gamme sont pour l’instant démunis devant une telle menace, puisque, dans le but d’alléger les systèmes grand public, l’éditeur de politiques de groupe gpedit n’est pas fourni par défaut sur le disque d’installation.

La troisième réparation concernera un problème déjà ancien, qui avait fait l’objet d’une annonce mi-décembre de l’an passé. Il s’agit d’une faille SMB couverte par l’article 977544 du Technet. Ce défaut concerne, une fois n’est pas coutume, uniquement les versions modernes de Windows : Windows 7 et 2008 R2, éditions 32, 64 et Itanium.

Remarquons au passage , dans le billet du MSRC, que la date officielle de « fin de support » pour Windows 2000 est prévue pour le 13 juillet de cette année. Passé cette date, plus aucun correctif d’amélioration ou de sécurité ne sera diffusé de manière gratuite et générale.

Laisser une réponse