Pas moins de 6 bulletins correctifs, dont 5 « critiques » sont mis en ligne sur le portail de Microsoft, lesquels viennent remédier à 8 vulnérabilités.
Parmi celles-ci, figure celle que des experts avaient identifiée dès la phase de test de Windows Vista.
« La mise à jour MS07-021 est clairement celle qu’il faut exécuter sans plus attendre » estiment plusieurs experts interrogés par la presse spécialisée américaine.
La mise à jour corrige 3 ‘bugs’, dont un identifié comme « critique », affectant toutes les versions de Windows depuis Windows 2000, XP, Server 2003 et Vista. Cette vulnérabilité dans le traitement des messages du sous-système ‘run-time’ Windows Client/server peut être exploitée à distance, admet Microsoft, et peut conduire à compromettre sérieusement la stabilité du PC.
Curieusement, cette faille dite ‘MsgBox'(messaging box) avait été reconnue par Microsoft il y a plus de 3 mois et transmise à ses experts en sécurité, soit pratiquement en même temps que le bug ANI, dit « curseur animé », corrigé en urgence tout début avril (cf. nos précédentes infos).
Les spécialistes du sujet constatent que ce bug, comme ANI, affecte toute la famille Windows depuis ‘2000’, donc atteste d’une reprise des mêmes lignes de code jusque dans Vista. En outre, il ne date pas d’aujourd’hui (c’est un » zero-day« ); il s’exécute à partir d’un navigateur Web et il affecte à la fois poste client et serveur.
Certains n’ont pas manqué d’aller vérifier que la « base des vulnérabilités nationale » du gouvernement fédéral américain avait bien épinglé cette faille dans une note postée le 21 décembre 2006, la veille d’une communication par Microsoft reconnaissant le problème (il s’agissait alors des versions Bêta 1 et 2 de Vista).
Sur les 4 autres failles de ce mardi 10 avril, les spécialistes se disputent sur leur degré de criticité, comparé au rang donné par Microsoft: MS07-17, MS07-018 et MS07-019 sont déclarées « critiques » par l’éditeur alors que certains experts considèrent la MS07-020 comme réellement dangereuse… Mais il reste également à statuer sur la MS07-021, jugée particulièrement risquée.
Enfin, la vulnérabilité MS07-022, est classée « importante » seulement: elle concerne le ‘kernel’ (noyau) Windows avec un risque d’attribution de passe-droit (ou elevation of privilege, ref 931784).
NB: pour toute mise à jour, rappelons qu’il faut se conformer strictement au téléchargement depuis le portail Microsoft:
https://www.microsoft.com/technet/security/bulletin/ms07-apr.mspx
Avis aux ingénieurs, inventeurs, startuppeurs...Lancé en partenariat avec l’INPI, l’accélérateur de startup 50partners, et les…
Les premiers « PC Copilot+ » arrivent sur le marché en juin. Tour d'horizon des…
Attaqué sur son usage des données des clients pour l'entraînement d'IA, Slack tente de justifier…
Un an et demi après sa publication initiale, le RGESN est mis à jour. Tour…
Le régulateur britannique de la concurrence renonce à une enquête approfondie sur le partenariat de…
À partir de juillet 2024, Microsoft imposera progressivement le MFA pour certains utilisateurs d'Azure. Aperçu…