Microsoft : 13 bouchons moins 1

• Imprimer

Le temps n'est plus où les services de presse de Redmond expliquaient que la diminution des alertes était la preuve indiscutable d'une nette amélioration de la sécurité du code de Windows. En cette fin de semaine est publié le traditionnel bulletin précisant le nombre de rustine du prochain « patch Tuesday »... il y en aura 13 cette fois, dont 6 concernant Windows, 4 destinées à Office, 1 colmatant le « .Net Framework », le solde étant constitué de mises à jour non critiques et sortant du cadre des alertes de pure sécurité. Le « bouchon en moins » concernera probablement une très jolie faille I.E. colmatée depuis le 30 Septembre par le Zert, et qui comble un BoF d'Internet Explorer. Si la rustine se trouve sur le serveur de Determina, le PoC de la vulnérabilité TestSetSlice est bel et bien sur le repository du Zert. (Attention, ce Poc ferme violemment l'instance d'I.E. qui tente de l'ouvrir). Il serait hautement souhaitable que les prochaines rustines du Zert ne puissent être téléchargées que depuis l'un des miroirs du Response Team. La profusion d'URL exotiques risque fort d'inquiéter les responsables sécurité. Sans un point de récupération clairement identifié et authentifié, tout téléchargement de code, à plus forte raison un code appelé à être déployé, ne peut être sérieusement envisagé par un responsable réseau... réellement responsable. Determina n'est pas le Zert, et c'est précisément l'apparente neutralité du Zert qui lui donne son aura de respectabilité. Demeurons encore un instant sur le 13eme trou de cet Open Microsoft pour signaler une remarque de Juha-Matti Laurio émise sur le Full Disclosure et relative au ZDE Powerpoint découvert il y a une semaine : l'attaque consisterait à utiliser un VBscript à l'intérieur d'une présentation, VBScript répondant au doux nom de SlideShowWindows.View.GotoNamedShow(). Mot de 37 lettres, compte double, avec plein de W et de H...ce n'est plus une fonction, c'est une attaque DoS à elle toute seule. D'autres informations, précise Laurio, auraient filtré à propos du code d'exploitation de ladite faille.