La « rustine du mardi » bouche CreateTextRange
Le dernier lot de correctifs Microsoft apporte, comme promis, une rustine cumulative destinée à Internet Explorer ( MS06-013 ), laquelle corrige notamment la très médiatique faille CreateTextRange. Chaque éditeur du domaine de la sécurité tente d'utiliser les dernières parcelles de renommée de ce trou de sécurité pour se mettre en valeur. De manière très classique, tel ISS, qui rappelle, url à l'appui, que l'exploit en question est téléchargeable sur Milw0rm, ou eEye, par qui le scandale du vrai-faux correctif est arrivé, et qui glisse au passage que sa rustine non officielle ne provoque aucune incompatibilité constatée à ce jour. Ni Mike Nash, Ni Steven Toulouse ne manqueront de se plonger dans la lecture du bulletin annonçant que le bouche-trou « non officiel » d'eEye a passé le cap des 156 000 téléchargements. On a connu des virus dont la propagation était plus lente, n'est-il pas ? Précisons que CreateTextRange n'est qu'une des dix autres failles d'I.E. comblées par ce correctif. Certaines d'entre elles étant relativement aisément exploitables ou pouvant le devenir -dont un trou « double byte » dans urlmon.dll-, le déploiement du code de correction est vivement souhaitable. Revenons sur les autres failles critiques de ce mois. Microsoft signale une instabilité dans Mdac, sous l'immatriculation MS06-014. Ce n'est pas, et de loin, la première fois que cette partie de Windows est affectée. Courant septembre-octobre 2002, c'était même là l'une des grappe de trous les plus prisée par les amoureux du XSS, à tel point que le Sans avait classé ce problème dans le top ten des hiatus informatiques. La 06-15 est un correctif de correctif de correctif portant sur une instabilité du shell Windows provoqué par la gestion des objets COM. La rustine concerne les usagers de toutes les éditions de Windows généralement en service, de Windows 98 « première édition » à 2003 Server 64 bits, en passant par Windows Me, XP et variantes. Les deux derniers correctifs 06-016 et 06-17 sont respectivement qualifiés d'important et de modéré. Le premier corrige un problème d'Outlook Express pouvant conduire à une exploitation distante, le second élimine un risque de XSS exploitant une faille dans les extensions FrontPage Server... voilà qui réveillera encore certains souvenirs.