Nouvelles failles dans Windows, IE et Outlook

Le dernier bulletin de sécurité de Microsoft ne comportait qu’un seul correctif (patch’). Pourtant, de nombreuses failles ne sont pas encore corrigées. Les ingénieurs de Microsoft ont du pain sur la planche puisque de nouvelles vulnérabilités viennent d’être découvertes dans les produits de la firme.

Le site de veille FrSIRT signale ainsi une faille avec risque de niveau « bas »; elle a été découverte par Konrad Malewski dans Windows. Elle pourrait être exploitée par un attaquant distant afin de causer un déni de service. La vulnérabilité concerne « une erreur présente dans la gestion de certains paquets IPv6 forgés. Ce procédé est connu sous le nom de « LAND attack », ce qui pourrait provoquer le crash d’un système vulnérable ». Il n’y a pas encore de ‘patch’. Windows XP (SP1 et SP2) et Windows Server 2003 sont concernés. De son côté, eEye Digital a mentionné, sans donner plus de détails, la découverte d’une vulnérabilité touchant Internet Explorer et Outlook. Microsoft confirme l’existence de cette faille qui permet l’exécution de code arbitraire à distance. Le risque semble élevé puisque l’interaction avec l’utilisateur est minimale. Seul point rassurant, l’éditeur, mis au courant le 5 mai dernier, affirme que la vulnérabilité n’a pas été exploitée. Windows NT4, 2000, XP et 2003 sont impactés, et Microsoft promet un ‘patch’ pour bientôt…