Microsoft aurait diffusé un ‘patch’ contenant une faille…

Le groupe n’a pas encore répondu à cette affirmation lancée par un cabinet spécialisé en sécurité informatique. Le dernier correctif en date – MS06-042 – aurait effectivement introduit une vulnérabilité

Ce n’est pas la première fois que Microsoft a à corriger un… correctif.

Le ‘patch’ MS06-042 mis à disposition en téléchargement depuis le 8 août dernier et visant à corriger une faille sur Internet Explorer, a introduit une vulnérabilité supplémentaire – soutient une société d’experts en sécurité, eEye Digital Security Inc., ce que la mise en ligne par Microsoft d’un correctif vient confirmer.

Plusieurs utilisateurs ont fait état de problèmes, plus ou moins sérieux, lors du redémarrage une fois le nouveau ‘patch’ installé. En particulier, le navigateur Internet Explorer peut ‘planter’ lorsque l’on lance les versions Web de certaines applications de PeopleSoft, Siebel, Sage…, celles utilisant le code HTTP (HyperText Transfer Protocol) avec compression des données 1.1 pour accélérer le téléchargement.

Microsoft a publié une nouvelle mise à jour qui prend la place du ‘patch’ MS06-042, téléchargeable automatiquement par tous les utilisateurs de Windows, ce qui vient confirmer la présence d’une faille? dans le ‘patch’.

Pour eEye, Microsoft aurait caché à ses clients que le nouveau ‘bug’ son navigateur ‘mis à jour’ permettrait à un attaquant d’exécuter des programmes non autorisés sur leur poste. Une accusation grave, qui met en cause moins la faille et la réactivité de l’éditeur ? personne n’est à l’abri d’un ‘bug’ et Microsoft a mis moins d’une semaine à proposer un nouveau correctif ? qu’une hypothétique volonté délibérée de cacher la graviter de la menace.

« Ce que les gens ignoraient sur le ‘patch’, c’est que quand il a été introduit, ils ont introduit une nouvelle vulnérabilité« , a déclaré Marc Maiffret, chief hacking officer d’eEye.

Aujourd’hui, les pirates se ruent sur les failles révélées par Microsoft pour les exploiter le plus rapidement possible avant que les postes menacés n’aient eu le temps, ou trop souvent encore le reflex, de les corriger.

Dans ces conditions, introduire une faille dans le correctif d’une faille représente un potentiel de dangerosité plus élevé, puisque les utilisateurs n’auront pour beaucoup d’entre eux ni l’information du risque, ni probablement le reflex de ‘patcher‘ le ‘patch‘ !

En tout cas, avec la médiatisation de cette information, la mise à jour MS06-42 ‘révisée‘ s’impose.