5 Poisons d'avril corrigés chez Microsoft
Le traditionnel mardi de la rustine corrige, ce mois-ci, 5 erreurs critiques et une qualifiée « d'importante ». Dans ce lot, l'on doit comptabiliser la fameuse correction du « bug ANI », déjà rectifié la semaine passée, ainsi qu'un trou de sécurité qui n'affecte que Content Management Server 2001 et 2002. De tous les défauts en question, il semble que l'alerte 07-021, concernant la gestion des erreurs de CSRSS (client/server runtime subsystem) soit la plus aisément et la plus dangereusement exploitable. Aux dernières nouvelles, l'exploit utilisant la faille ANI serait hébergée sur plus de 2000 serveurs, estime Websense. Un exploit utilisé par deux groupes de hackers, l'un, d'origine chinoise, visant les comptes de jeux en ligne, l'autre, provenant d'Europe Centrale, cherchant essentiellement à moissonner des crédences d'accès bancaires. Fort à propos, nos grands frères de ComputerWorld publient un article intitulé « Six trucs pour un mardi des rustines sans peine ». Ce sont là des « bonnes pratiques » classiques, conseils totalement inutiles à ceux qui ont les moyens de les appliquer car ces procédures sont en place depuis belle lurette, et totalement inutiles également à ceux qui n'ont pas toujours les moyens de les appliquer, faute d'un bon proxy, d'un firewall bien administré, de temps pour mener à bien les tests de régression... Pourtant, le rôle d'un conseil inutile, c'est de pouvoir se servir de lui comme référence à approcher.
