Microsoft précipite la mise à dispositions de 2 correctifs pour Internet Explorer
Microsoft, contrairement à son habitude, précipite la sortie de deux correctifs de sécurité (prévus initialement le 11 août) par rapport à son planning de mises à jour. Il s'agit d'un correctif critique pour Internet Explorer, et d'un autre pour Visual Studio jugé d'urgence 'modérée' par Microsoft. « Le correctif pour Internet Explorer permettra d'apporter à IE des changements en profondeur de protection qui aideront à fournir des protections supplémentaires contre les problèmes concernés par le correctif Visual Studio », a annoncé Microsoft le 24 juillet. Les correctifs seront disponible mardi 28 juillet à 19h (heure française). Micosoft n'a pas précisé exactement ce qu'il corrigeait. La société ne précipite habituellement pas la sortie de ces correctifs 'hors planning', à moins que les failles ne soient exploitées par des pirates. Pour autant, ces correctifs n'ont rien à voir avec des attaques, selon Microsoft. Il semblerait que le problème réside dans un composants Windows très utilisé, appelé Active Template Library (ATL). Selon le chercheur en sécurité Halvar Flake, cette faille est aussi responsable d'un bug ActiveX identifié plus tôt dans le mois par Microsoft. L'éditeur avait rendu disponible le 14 juillet un correctif 'kill-bit' censé résoudre le problème, mais en y regardant de plus près, Halvar Flake estime que le correctif ne corrige pas la vulnérabilité sous-jacente, rendant de nouvelles attaques possibles. Quelque soit le problème, ce nouveau correctif devrait être une priorité pour les équipes IT. « Quand Microsoft sort un correctif de manière imprévue, je pense qu'il est sage que les gens l'appliquent », explique Roger Thompson, Directeur de la Recherche chez AVG Technologies. Microsoft ne s'est pas justifié quant à cette mise à jour précipitée, mais il n'est pas impossible que l'éditeur essaye de se prémunir de toute mauvaise publicité lors des 'Black Hat Briefings', une conférence sur la sécurité qui commencera mercredi à Las Vegas, où les chercheurs Mark Dowd, Ryan Smith et David Dewey évoqueront les problèmes de sécurité des navigateurs Web. Les correctifs seront en effet disponibles la veille de la conférence. Selon des experts en sécurité, des milliers de sites Web ont été utilisés pour lancer des attaques qui exploitaient la faille ActiveX identifiée plus tôt au mois de juillet. Cette dernière a été signalée à Microsoft il y a plus d'un an.
