Microsoft : 6 trous dont 4 critiques... ou peut-être bien 5
De la MS07-030 à la MS07-035, sans oublier la mise à jour de deux anciennes rustines, les MS07-12 (faille MFC) et MS07-018 (trou « content management »), le mardi de la rustine aura été fructueux chez Microsoft. Résumé sur le blog du MSRC, on y retrouve les traditionnelles plaies qui frappent l'environnement Windows : fuites d'informations sous Vista, l'inévitable rustine cumulative d'I.E., une ou deux instabilités frappant les outils de messagerie, un trou Win32 et quelques fuites dans les gestionnaires des couches SSL/TLS. Reste pourtant une « faille mystère », la 030 qui concerne le programme de tracé d'organigrammes Visio , et dont le niveau de criticité a été fixé à « important ». Or, précise le bulletin en question, « Vulnerabilities in Microsoft Visio Could Allow Remote Code Execution ». Et une exploitation de code exécutable à distance, c'est en général le meilleur moyen pour obtenir une canonisation et l'auréole de bug « critique » dans le pandémonium des trous Windows. La sainteté des failles n'est plus ce qu'elle était... il faudra désormais faire la différence entre les exploits « petits calibres » et les attaques « armes lourdes ». Des exploits concernant plusieurs de ces failles sont d'ores et déjà disponibles sur Internet, notamment un PoC relatif à l'alerte MS07-033 utilisable sous XP SP2 et Windows 2K SP4, sans oublier un exploit lié à l'alerte SSL MS07-031. A noter à ce sujet le temps durant lequel l'inventeur de la faille, Thomas Lim, a conservé le défaut sous le coude avant d'en communiquer les détails à Microsoft : Discovery Date: 28th August 2006 Date reported to Microsoft: 19th March 2007 Le temps d'analyse ne fut pas particulièrement bref.
