Ce n’est pas la première fois que Microsoft a à corriger un… correctif.
Le ‘patch’ MS06-042 mis à disposition en téléchargement depuis le 8 août dernier et visant à corriger une faille sur Internet Explorer, a introduit une vulnérabilité supplémentaire – soutient une société d’experts en sécurité, eEye Digital Security Inc., ce que la mise en ligne par Microsoft d’un correctif vient confirmer.
Plusieurs utilisateurs ont fait état de problèmes, plus ou moins sérieux, lors du redémarrage une fois le nouveau ‘patch’ installé. En particulier, le navigateur Internet Explorer peut ‘planter’ lorsque l’on lance les versions Web de certaines applications de PeopleSoft, Siebel, Sage…, celles utilisant le code HTTP (HyperText Transfer Protocol) avec compression des données 1.1 pour accélérer le téléchargement.
Microsoft a publié une nouvelle mise à jour qui prend la place du ‘patch’ MS06-042, téléchargeable automatiquement par tous les utilisateurs de Windows, ce qui vient confirmer la présence d’une faille? dans le ‘patch’.
Pour eEye, Microsoft aurait caché à ses clients que le nouveau ‘bug’ son navigateur ‘mis à jour’ permettrait à un attaquant d’exécuter des programmes non autorisés sur leur poste. Une accusation grave, qui met en cause moins la faille et la réactivité de l’éditeur ? personne n’est à l’abri d’un ‘bug’ et Microsoft a mis moins d’une semaine à proposer un nouveau correctif ? qu’une hypothétique volonté délibérée de cacher la graviter de la menace.
« Ce que les gens ignoraient sur le ‘patch’, c’est que quand il a été introduit, ils ont introduit une nouvelle vulnérabilité« , a déclaré Marc Maiffret, chief hacking officer d’eEye.
Aujourd’hui, les pirates se ruent sur les failles révélées par Microsoft pour les exploiter le plus rapidement possible avant que les postes menacés n’aient eu le temps, ou trop souvent encore le reflex, de les corriger.
Dans ces conditions, introduire une faille dans le correctif d’une faille représente un potentiel de dangerosité plus élevé, puisque les utilisateurs n’auront pour beaucoup d’entre eux ni l’information du risque, ni probablement le reflex de ‘patcher‘ le ‘patch‘ !
En tout cas, avec la médiatisation de cette information, la mise à jour MS06-42 ‘révisée‘ s’impose.
Comment gérer les données numériques après la mort de son détenteur ? La jeune pousse…
Ivès, expert en accessibilité de la surdité, s’est associé à Sopra Steria et à IBM…
L'Autorité de la concurrence et des marchés (CMA) a lancé la phase de recherche de…
Broadcom remplace pas moins de 168 logiciels VMware par deux grandes licences de location correspondant…
La banque d’investissement utilise l'IA pour proposer des stratégies individualisées, en termes de rendement et…
OVHCloud partage ses efforts environnementaux au sommet de l’Open Compute Project qui se tient à…