Microsoft corrige la faille de l'URI

Le par  |  0 commentaire(s)
Windows XP patch pansement

Un Patch Tuesday des plus légers mais pourtant pas des moindres pour novembre avec deux correctifs dont un qui ravira les éditeurs tiers.

Windows xp patch pansementLe Pacth Tuesday du mois de novembre révèle ses secrets avec comme prévu la publication de deux bulletins, un qualifié de critique et l'autre d'important. Notre boule de cristal a vu juste, plutôt que de mettre en ligne un patch qui existe déjà pour le pilote vulnérable secdrv.sys de Macrovision (à télécharger ici), le leader mondial du logiciel a préféré privilégier la correction de la faille dite de l'URI attendue de longue date.

Cette faille avait fait couler beaucoup d'encre l'été dernier en étant au centre d'une rixe entre Mozilla et Microsoft dans le cadre d'une vulnérabilité affectant Firefox, avant que tous deux ne reconnaissent leurs torts respectifs. Plus récemment, c'était le lecteur PDF d'Adobe qui avait eu maille à partir avec cette faille et nombre d'experts prédisaient que la liste des applications vulnérables allaient s'allonger rapidement si Microsoft ne réagissait pas comme il l'avait laissé entendre (plus de détails dans notre actualité).


Chose promise, chose enfin due
Ladite mise à jour corrige ainsi une vulnérabilité d'exécution de code à distance liée à la façon dont le shell Windows traite les URI spécialement conçus qui lui sont transmis précise Microsoft dans son bulletin de sécurité critique MS07-61, et de poursuivre, si le shell Windows n'a pas procédé à une validation suffisante de ces URI, un attaquant pourrait exploiter cette vulnérabilité et exécuter du code arbitraire.

Cette mise à jour s'adresse à toutes les éditions de Windows XP et Windows Server 2003 où le navigateur Internet Explorer 7 est présent (pas Vista) car c'est son installation qui a modifié la manière dont le système gère les URI et en particulier, la fonction API ShellExecute() de Windows shell32. IE7 ou pas, la mise à jour est toutefois très fortement conseillée par Microsoft.

Bien que qualifié d'important et non pas critique, le deuxième bulletin de sécurité ( MS 07-62 ) n'est cependant pas à négliger même s'il concerne un public plus restreint puisque à destination de Windows Server 2000 et Windows Server 2003. La mise à jour proposée corrige une vulnérabilité d'usurpation de contenu (spoofing) dans les serveurs DNS Windows qui pourrait permettre à un attaquant d'envoyer des réponses spécialement conçues à des requêtes DNS et ainsi d'usurper ou de rediriger du trafic Internet destiné à des emplacements légitimes.
Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]