Microsoft : Ocean (de failles) 12
12 failles d'un coup, le « patch Tuesday » est assez riche ce mois ci. On y trouve notamment la correction relativement attendue d'un problème Jscript jugé critique et portant la référence MS 06-023, un trou de sécurité dans le RRAS (ce n'était pas arrivé depuis longtemps) immatriculé MS 06-025, encore un problème critique du coté du moteur graphique de Windows sous la référence MS 06-026, un bug majeur dans Windows Media Player étiqueté MS 06-024, un gouffre assez préoccupant sous Word 2000 à 2003 et Works 2000 à 2006 (sensibilité à un fichier Doc forgé, bulletin MS 06-027 ), une possibilité d'exploit à partir également un fichier forgé, mais interprété par Powerpoint cette fois ci -à remarquer que les éditions PC et Mac sont également sensibles à cette faille MS 06-028 ), et enfin, pour couronner le tout, une rustine « cumulative » amoureusement vulcanisée pour Internet Explorer et qui élimine 8 nouveaux risques allant du XSS au spoofing, en passant par le buffer overflow et heap overflow. Le bouchon I.E. porte le numéro MS06-021 et clôt la série des points « critiques » de cette nouvelle vague de correctifs. A coté de çà, une vulnérabilité SMB ou l'éventualité d'un exploit tirant parti d'une faille dans la couche TCP/IP paraissent presque bénignes. Le douzième et dernier bulletin - bug dans l'authentification RPC passe presque inaperçue, qualifiée de « modérée » par le Response Team de Redmond. Ce lot de bouche trou prouve que l'équipe sécurité de Microsoft est loin d'être inactive. Cependant, quelques unes de ces failles avaient fait l'objet de publications sur les ML sécurité, publications laissant clairement entendre que des exploits existaient. Une première vague de patch aurait probablement été la bienvenue il y a au moins 15 jours de cela. Il est important de noter que certaines instabilités, mêmes corrigées, risquent encore de faire parler d'elles dans les jours à venir. Ainsi, les allemands de SEC-Consult promettent la publication prochaine d'un exploit visant le client de messagerie Web OWA (lié à Exchange Server), si l'on en croit un message publié sur le Full Disclosure. Le code en question utilise une inconsistance liée à Jscript. Ce genre d'avertissement est à prendre au sérieux. Les administrateurs de messagerie, tout comme ceux chargés de la maintenance des SGBD, mettent, prudence oblige, un « certain temps » avant que de déployer les rustines...des rustines qui ne sont pas toujours inoffensives, particulièrement sous Exchange pourrait-on ajouter perfidement... et par expérience. Du coté des forums, cette giboulée de failles fait sortir les inventeurs du bois et du mutisme. Notamment chez iDefense, qui revendique la découverte de 4 trous, du coté du « zero day initiative », qui en brandit 2 -trous appartennant à la série « Internet Explorer »-. Cet après-patch-day est assez roboratif pour nous promettre de la lecture et de l'interprétation de code pendant au moins les deux semaines à venir.