‘Patch tuesday’: Microsoft annonce 6 bulletins pour 8 vulnérabilités

Pierre Mangin,

Ce « patch tuesday » du 10 avril est prolifique, suite au silence radio de mars
– une deuxième vague de correctifs sur ce mois d’avril. 8 vulnérabilités sont
résolues dont une attendue depuis les bêtas 1 et 2 de Vista…

Pas moins de 6 bulletins correctifs, dont 5 « critiques » sont mis en ligne sur le portail de Microsoft, lesquels viennent remédier à 8 vulnérabilités.

Parmi celles-ci, figure celle que des experts avaient identifiée dès la phase de test de Windows Vista.

« La mise à jour MS07-021 est clairement celle qu’il faut exécuter sans plus attendre » estiment plusieurs experts interrogés par la presse spécialisée américaine.

La mise à jour corrige 3 ‘bugs’, dont un identifié comme « critique », affectant toutes les versions de Windows depuis Windows 2000, XP, Server 2003 et Vista. Cette vulnérabilité dans le traitement des messages du sous-système ‘run-time’ Windows Client/server peut être exploitée à distance, admet Microsoft, et peut conduire à compromettre sérieusement la stabilité du PC.

Curieusement, cette faille dite ‘MsgBox'(messaging box) avait été reconnue par Microsoft il y a plus de 3 mois et transmise à ses experts en sécurité, soit pratiquement en même temps que le bug ANI, dit « curseur animé », corrigé en urgence tout début avril (cf. nos précédentes infos).

Les spécialistes du sujet constatent que ce bug, comme ANI, affecte toute la famille Windows depuis ‘2000’, donc atteste d’une reprise des mêmes lignes de code jusque dans Vista. En outre, il ne date pas d’aujourd’hui (c’est un  » zero-day« ); il s’exécute à partir d’un navigateur Web et il affecte à la fois poste client et serveur.

Certains n’ont pas manqué d’aller vérifier que la « base des vulnérabilités nationale » du gouvernement fédéral américain avait bien épinglé cette faille dans une note postée le 21 décembre 2006, la veille d’une communication par Microsoft reconnaissant le problème (il s’agissait alors des versions Bêta 1 et 2 de Vista).

Sur les 4 autres failles de ce mardi 10 avril, les spécialistes se disputent sur leur degré de criticité, comparé au rang donné par Microsoft: MS07-17, MS07-018 et MS07-019 sont déclarées « critiques » par l’éditeur alors que certains experts considèrent la MS07-020 comme réellement dangereuse… Mais il reste également à statuer sur la MS07-021, jugée particulièrement risquée.

Enfin, la vulnérabilité MS07-022, est classée « importante » seulement: elle concerne le ‘kernel’ (noyau) Windows avec un risque d’attribution de passe-droit (ou elevation of privilege, ref 931784).

NB: pour toute mise à jour, rappelons qu’il faut se conformer strictement au téléchargement depuis le portail Microsoft:

https://www.microsoft.com/technet/security/bulletin/ms07-apr.mspx