Histoire d’un bug en mal de correction
eEye corrige le bug dans les curseurs animés de Windows et bloque la vulnérabilité ‘zero-day’ qui menace Outlook. Particularité de la correction, elle n’a rien d’officielle?
Première étape, l’éditeur McAfee a le premier signalé mercredi dernier la présence d’un bug dans les fichiers Animated Cursor, utilisés pour créer sous Windows des curseurs animés, qui aurait été utilisé dans des attaques Web.
Le premier, vraiment ? Un éditeur de sécurité, Determina, affirme avoir déjà signalé le problème à Microsoft en décembre dernier? En réalité, Microsoft aurait depuis longtemps corrigé une faille (MS05-002) proche de celle qui a été révélée par McAfee, mais le patch, toujours dixit Determina, aurait été incomplet.
Une information confirmée par un autre éditeur de sécurité, eEye, qui quant à lui précise que la première faille a été découverte par ses experts et corrigée en 2005, il y a deux ans donc. Mais qu’à cette occasion, le correctif MS05-002 suscité a bien oublié une partie de la faille.
Microsoft de son côté a reconnu la faille, et indiqué qu’elle ne concerne pas Outlook 2007. En revanche, les versions précédentes d’Outlook, et en particulier Outlook Express sont vulnérables. Il conseille d’ailleurs ne n’ouvrir les e-mails qu’en mode texte?
Il a également indiqué qu’il pourrait ‘éventuellement’ corriger le problème. Mais il n’a donné aucune indication quant à la publication d’un correctif à Animated Cursor? Le 10 avril, prochain ‘Patch Tuesday’ ?
En fait, lorsqu’une faille concerne des développements dont il n’a pas la responsabilité, l’éditeur renvoie logiquement vers les tiers auteurs de l’erreur pour réviser leurs produits.
Sauf que dans ce cas, et ce n’est pas la première fois, la correction est venue de l’extérieur, via un patch proposé par eEye Security. Et qui n’a rien d’officiel ! Et sauf qu’ici il y a urgence, car le code permettant d’exploiter la faille a été publié sur plusieurs sites ‘underground’, dont deux chinois…
Page: 1 2
Silicon et KPMG lancent la deuxième édition de l'étude Trends of IT. Cette édition 2024…
Le ministère de l'économie a adressé une lettre d'intention à la direction d'Atos pour racheter…
Directeur Technologie de SNCF Connect & Tech, Arnaud Monier lance une campagne de recrutement pour…
Les grands de l'IT suppriment des milliers de jobs au nom du déploiement de. Une…
Quatre ans après l’appel de Rome - un pacte présenté en 2020 par le Vatican…
Comment gérer les données numériques après la mort de son détenteur ? La jeune pousse…