Microsoft ne corrigera pas la faille IIS/FTP dans son prochain bulletin de sécurité

Cinq bulletins de sécurité composeront la prochaine édition du « patch tuesday » que Microsoft livrera mardi 8 septembre prochain. L’éditeur prévient que les vulnérabilités concernées sont toutes classées comme « critiques ». Les correctifs se concentreront exclusivement sur les systèmes Windows, de 2000 à Vista en passant par les éditions Server 2003 et 2008 sous leurs différents services pack (SP) en versions 32 comme 64 bits.

Microsoft prévient que la faille qui touche le service FTP de son application serveur IIS (Internet Information Services) ne sera pas corrigée dans le prochain bulletin. Ce n’est pas une surprise. Découverte le 1er septembre, la vulnérabilité qui permet l’exécution de code distant sur les versions 5.0, 5.1, 6 et 7 de IIS ne laisse guère assez de temps à l’éditeur pour apporter les corrections nécessaires suivies des tests qualificatifs.

Mais c’est d’autant plus regrettable que des codes d’exploitations circulent publiquement et l’éditeur est informé de l’existence d’attaques « limitées », selon lui. Mais la situation urge. Microsoft prévient d’ailleurs qu’il pourrait sortir son correctif en dehors du cycle mensuel des mises à jour de sécurité.

A l’occasion de l’annonce du nouveau « pre-patch tuesday», Microsoft en profite pour présenter un nouveau guide des mises à jours de sécurité écrit à l’intention des administrateurs pour les « aider à mieux comprendre et utiliser les informations de mise à jour, les processus, communications et outils » proposés par Microsoft.