Ce n’est pas la première fois que Microsoft a à corriger un… correctif.
Le ‘patch’ MS06-042 mis à disposition en téléchargement depuis le 8 août dernier et visant à corriger une faille sur Internet Explorer, a introduit une vulnérabilité supplémentaire – soutient une société d’experts en sécurité, eEye Digital Security Inc., ce que la mise en ligne par Microsoft d’un correctif vient confirmer.
Plusieurs utilisateurs ont fait état de problèmes, plus ou moins sérieux, lors du redémarrage une fois le nouveau ‘patch’ installé. En particulier, le navigateur Internet Explorer peut ‘planter’ lorsque l’on lance les versions Web de certaines applications de PeopleSoft, Siebel, Sage…, celles utilisant le code HTTP (HyperText Transfer Protocol) avec compression des données 1.1 pour accélérer le téléchargement.
Microsoft a publié une nouvelle mise à jour qui prend la place du ‘patch’ MS06-042, téléchargeable automatiquement par tous les utilisateurs de Windows, ce qui vient confirmer la présence d’une faille? dans le ‘patch’.
Pour eEye, Microsoft aurait caché à ses clients que le nouveau ‘bug’ son navigateur ‘mis à jour’ permettrait à un attaquant d’exécuter des programmes non autorisés sur leur poste. Une accusation grave, qui met en cause moins la faille et la réactivité de l’éditeur ? personne n’est à l’abri d’un ‘bug’ et Microsoft a mis moins d’une semaine à proposer un nouveau correctif ? qu’une hypothétique volonté délibérée de cacher la graviter de la menace.
« Ce que les gens ignoraient sur le ‘patch’, c’est que quand il a été introduit, ils ont introduit une nouvelle vulnérabilité« , a déclaré Marc Maiffret, chief hacking officer d’eEye.
Aujourd’hui, les pirates se ruent sur les failles révélées par Microsoft pour les exploiter le plus rapidement possible avant que les postes menacés n’aient eu le temps, ou trop souvent encore le reflex, de les corriger.
Dans ces conditions, introduire une faille dans le correctif d’une faille représente un potentiel de dangerosité plus élevé, puisque les utilisateurs n’auront pour beaucoup d’entre eux ni l’information du risque, ni probablement le reflex de ‘patcher‘ le ‘patch‘ !
En tout cas, avec la médiatisation de cette information, la mise à jour MS06-42 ‘révisée‘ s’impose.
Un temps pressenti pour constituer le socle d'une suite bureautique AWS, Amazon WorkDocs arrivera en…
Eviden regroupe cinq familles de serveurs sous la marque BullSequana AI. Et affiche le supercalculateur…
Le dernier Magic Quadrant du SSE (Secure Service Edge) dénote des tarifications et des modèles…
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.