Alerte : un exploit menace les utilisateurs de XML

Un exploit dans XML core services de Microsoft qui est un langage de balisage
extensible a été publié par un ingénieur belge

Le bulletin sécurité de Microsoft du mois d’août proposait pas moins de 9 correctifs dont six jugés critiques par la firme de Redmond.

Parmi ces six correctifs critiques, le bulletin MS07-042 corrigeait une faille qui pouvait être exploitée par le biais d’attaques sur Microsoft XML Core Services (XML pour Extensible Markup Language). Or, selon nos confrères de vulnérabilité.com un ingénieur belge du nom d’All Berzroutchko vient de publier un exploit à même de profiter de cette faille.

Heureusement, les risques d’exploitation de la vulnérabilité sont limités, car le bulletin a déjà été publié le 14 août 2007, mais les utilisateurs des produits Microsoft qui n’ont pas procédé à la mise à jour, par exemple ceux qui reviennent tout juste de vacances doivent accélérer le mouvement et télécharger le patch tuesday le plus rapidement possible.

Berzroutchko a publié un code JavaScript capable d’affecter le fonctionnement du navigateur IE 6.0 sous Windows 2000 et Windows XP service pack 2.

Cette nouvelle montre que sur ce coup les ingénieurs de Redmond ont été très vigilants. La faille était particulièrement critique, puisqu’en moins de 15 jours un professionnel de la sécurité informatique a découvert une méthode pour l’exploiter.

Pour télécharger le « patch Tuesday » du mois d’août, suivre ce lien.

La synthèse de la menace selon Microsoft Cette mise à jour de sécurité de niveau « critique » corrige une vulnérabilité signalée confidentiellement. Cette vulnérabilité pourrait permettre l’exécution de code à distance si un utilisateur affichait une page Web spécialement conçue à l’aide d’Internet Explorer. La vulnérabilité pourrait être exploitée par le biais d’attaques sur Microsoft XML Core Services. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d’impact que ceux qui possèdent des privilèges d’administrateur.Il s’agit d’une mise à jour de sécurité de niveau « critique » pour toutes les éditions prises en charge de Windows 2000, Windows XP, Windows Vista, Microsoft Office 2003, et Microsoft Office System 2007.