Patch Tuesday : 3 correctifs prévu, rien pour Excel

L’éditeur de Redmond met en ligne son préavis de bulletin de sécurité. Au menu, trois bulletins mais rien pour celle trouvée dans Excel

Microsoft apporte son lot de correctifs. Dans la besace de l’éditeur de Redmond pour le mois de mars, des patchs pour Windows XP, Windows Vista, Windows 2000 et même Server 2003/2008. Trois correctifs sont alors dévoués à ces systèmes.

Pour autant, on peut se demander pour quelles raisons aucune parade n’a encore été éditée pour la faille critique découverte dans Excel 2007 voilà deux semaines. Détecté par Symantec, ce trou est actuellement exploité par les pirates. Le mode opératoire est classique : un document .xls piégé permet d’infecter un utilisateur à travers un cheval de Troie (Trojan.Mdropper.AC) qui permet l’exécution de code à distance.

Fait étrange d’autant que la faille touche toutes les versions Mac et PC d’Excel et qui, selon certaines informations, serait déjà bien exploitée par des pirates en Asie. On pourrait donc authentifier la thèse du retard accumulé par les développeurs n’arrivant pas à intégrer la solution dans le patch à venir. Il faut savoir que le processus de développement des patchs prend un certain temps à Redmond. Une fois intégrée au calendrier des charges, une réponse arrive toujours avec un certain temps de latence.

Une situation qui ne semble pas inquiéter Microsoft outre mesure d’autant plus que la faille ressemble étrangement à celle frappant Acrobat d’ Adobe. Découverte le 12 février dans le lecteur PDF Adobe Reader (versions 7, 8 et 9 sous Windows, Mac et Linux), la vulnérabilité exploite le code JavaScript qui sert à gérer la saisie dans un formulaire au format PDF pour exécuter un malware.

De son côté, Adobe a annoncé que les utilisateurs devraient encore attendre jusqu’au 11 mars avant de pouvoir disposer d’un correctif. Pas d’autre choix que l’attente donc.

A lire, Reportage : génèse d’un ‘patch’ chez Microsoft