Header Header Header
Header ISS Software
Header
  Pack Service Pack Securite Pack Web Pack Systeme Pack Client Pack Editeur Pack Contact  
Header Header Header
Header Header Header
 
  (Mise à jour) Microsoft publie le correctif de son correctif de sécurité
(Mise à jour) Microsoft publie le correctif de son correctif de sécurité Mercredi 30 Août 2006 à 09h43
L'éditeur a mis en ligne une mise à jour d'un patch de sécurité qui mettait en danger certains PC équipés de Windows XP.
Mise à jour (25 août 2006)

La société américaine n'aura finalement pas trop traîné pour rattraper la bourde du correctif de sécurité « MS06-42 ». Celui-ci créait une menace potentielle de prise de contrôle des PC de certains utilisateurs d'Internet Explorer, via la technique dite de « buffer overrun ».

Prévue mardi 22 août, la mise à jour de ce patch malencontreux avait été reportée pour raison technique. Elle est désormais disponible sur le site de l'éditeur. Ce dernier invite les utilisateurs à télécharger ce correctif de correctif sans attendre, la faille provoquée par MS06-42 étant jugée « critique ». Les utilisateurs de Windows XP ayant installé le Service Pack 2 ne sont pas concernés par ce problème de sécurité.


 

Première publication le 23 août 2006

Une rustine de sécurité de Microsoft rend Explorer vulnérable

Début août, l'éditeur a publié une mise à jour de sécurité, qui, une fois installée, permet une éventuelle prise de contrôle à distance de l'ordinateur. Le « correctif du correctif » est toujours attendu.

C'est ce que l'on pourrait communément appeler une tuile. Parmi les douze mises à jour de sécurité publiée début août par Microsoft, la « MS06-42 », destinée à corriger plusieurs vulnérabilités du navigateur Internet Explorer, s'est distinguée de la plus paradoxale des façons.

En effet, quelques jours après sa parution, des chercheurs de la société américaine eEye Digital ont constaté que ce « patch cumulatif » créait, sur le poste où il s'installait, une faille de sécurité pour les utilisateurs d'Internet Explorer 6.0 Service Pack 1, sur les systèmes d'exploitation Windows XP SP1 et Windows 2000 SP4.

Nouvel élément fâcheux pour Microsoft, qui a admis le problème : la sortie du « patch du patch », pourtant attendue hier, mardi 22 août, a été reportée sine die. « Nous avons rencontré des soucis avec ce correctif et nous avons voulu éviter d'ajouter un problème à un autre problème », détaille Bernard Ourghanlian, directeur technique et sécurité de Microsoft France.

Dans les faits, la rustine MS06-42 fait « planter » brutalement le navigateur sur certains sites et permet, en théorie, grâce à la technique dite du « débordement de mémoire » (buffer overrun), à une personne distante d'exécuter du code malveillant sur l'ordinateur. Ce, en amenant son propriétaire sur un site Web doté d'une adresse très longue, utilisant « la compression et le protocole HTTP 1.1 ».

En France, le Cert-IST, association qui prodigue aux entreprises des services de prévention en matière d'incidents informatiques, a qualifié cette faille de « moyenne ». « Nous nous sommes contentés de publier un avis et non de mettre en place une procédure d'alerte, indique Anne-Laure Bouillot, ingénieur sécurité. Notre activité de surveillance n'a pas relevé d'exploitation de cette faille. » Pour Bernard Ourghanlian également, le danger est minime : « Il n'y a pas de risque de propagation d'un virus. Il faut qu'un utilisateur soit incité à aller sur un site spécifique. Nous n'avons pas de cas grave à signaler. »

« Pas de logiciel parfait »

En attendant la sortie du correctif pour la MS06-42, Microsoft demande aux utilisateurs d'Internet Explorer d'installer quand même cette mise à jour, mais de désactiver la fonction HTTP 1.1 dans le navigateur. « Certaines applications qui recourent à ce protocole ne fonctionneront pas », prévient Bernard Ourghanlian.

Reste une question : comment est-il possible qu'une mise à jour de sécurité, qu'on imagine objet de toutes les vérifications, puisse aboutir à cette situation ubuesque ?

« Il n'est pas possible d'écrire un logiciel parfait, défend Bernard Ourghanlian. Il faudrait étudier tous les scénarios d'attaques possibles et imaginables pour cela. Internet Explorer est écrit en 24 langues, fonctionne sur de nombreuses plates-formes. Et parfois, alors qu'on aimerait procéder à une batterie de tests - comme ceux dits de non-régression, qui durent en principe 5 à 6 semaines -, la publication d'une faille par des experts nous oblige à accélérer la publication d'un correctif. Notre position n'est pas toujours évidente, entre la sécurité des utilisateurs et la volonté de publier un patch qui ait passé un maximum de vérifications. » Pour l'éditeur, qui fait de la sécurité une priorité, l'épisode n'est vraiment pas le bienvenu.

Valid HTML 4.01 Transitional  CSS Valide !  WAI-A Valide  Accesskey