Faille critique : Microsoft publie un patch urgent

Microsoft publie ce vendredi un correctif critique en dehors de ses patch days mensuels habituels. Preuve que le problème est important. Cette mise à jour concerne tous les Windows.

Selon la firme, le patch corrige une vulnérabilité signalée confidentiellement dans le service Serveur. Elle pourrait permettre l’exécution de code à distance si un système affecté recevait une requête RPC (Remote Procedure Call) spécialement conçue.

Sur les systèmes Windows 2000, Windows XP et Windows Server 2003, un attaquant pourrait exploiter cette vulnérabilité pour exécuter du code arbitraire sans nécessiter d’authentification. Il serait possible d’utiliser cette vulnérabilité dans la création d’un ver.

Windows 2000, Windows XP (x86 et x64), Windows Server 2003 (x86, x64 et Itanium), Vista (x86 et x64), Windows Server 2008 (x86, x64 et Itanium) sont impactés.

A noter toutefois, si pour 2000, XP, Server 2003, le correctif est critique, il passe en rang « important » pour Vista et Server 2008.

La faille aurait déjà été exploitée. « Nous avons découvert cette vulnérabilité à travers une série limitée d’attaques de malwares contre Windows XP il y a deux semaines environ », peut-on lire sur le blog de Christopher Budd, du Centre de sécurité de l’éditeur. « En enquêtant sur ces attaques, nous avons découvert qu’ils utilisaient une nouvelle vulnérabilité qui infecte Windows XP et des systèmes plus anciens par attaque de vers. »

Windows Update propose déjà l’installation automatique du patch. On peut également le trouver ici