MS06-042 : Il n'y a que les failles qui m'aillent

Le par  |  28 commentaire(s) Source : Aurélien Cabezon pour Vulnerabilite.com

Le 8 Août dernier, Microsoft diffusait un correctif cumulatif afin de corriger une série de failles sur son navigateur Internet Explorer 6 SP1 (MS06-042).

Le 8 Août dernier, Microsoft diffusait un correctif cumulatif afin de corriger une série de failles sur son navigateur Internet Explorer 6 SP1 (MS06-042). Il n’a pas fallu attendre longtemps pour que des problèmes de fonctionnement suite à l’installation du patch remontent aux oreilles du support client de Microsoft. En visitant certains sites, le butineur fraîchement mis à jour avait une fâcheuse tendance à ... planter.

Le 11 Août suivant, Microsoft publie une note qui mentionne le problème du correctif MS06-042 et confirme qu’Internet Explorer digère mal les pages web utilisant la compression et le protocole HTTP 1.1.

Seulement, d’après la société eEye, l’éditeur de Redmond omet un détail qui a son importance : il ne s’agit pas simplement d’un « bug » causant un crash mais d’une faille pouvant compromettre la sécurité de la machine vulnérable.

En effet, intrigués par le comportement du navigateur, plusieurs chercheurs et sociétés se sont penchés sur le problème et ont découvert qu’il était possible d’exploiter ce défaut afin d’exécuter à distance du code arbitraire. D’un simple « bug » on passe donc à une vulnérabilité jugée critique par eEye.

Windows XP SP1 (IE6 SP1) et Windows 2000 (IE6 SP1) avec le correctif MS06-042 sont affectés par cet effet de bord. Une nouvelle version de la mise à jour de sécurité est en cours de développement et aurait du être distribuée à tous les clients Microsoft Internet Explorer 6 Service Pack 1 le 22 août 2006. Ce qui n'a pas été le cas, et ne l'est toujours pas à l'heure actuelle sans qu'aucune date de disponibilité ne soit donnée (voir cette actualité pour plus de précisions).

En attendant, eEye conseille de désactiver le support du protocole HTTP 1.1 dans le navigateur ou de passer en XP SP2.

Il n’est pas à exclure que des individus peu scrupuleux utilisent d’ores et déjà ce nouveau vecteur pour véhiculer des spywares ou autres chevaux de Troie à travers des sites Internet malicieux. Gare où vous surfez !
Complément d'information

Vos commentaires Page 1 / 3

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #125910
Le plus simple est de ne pas utiliser IE, un navigateur sympa.
Le #125911
Franchement, ca frise le ridicule. Les ingénieurs responsables de ca, meritent la porte.
Le #125912
@freeman -->Mince, faudrais mettre un bon paquets d'ingé a la porte alors ! Et puis moi c'est pas les ingé que je mettrais a la porte (personne n'est parfait)... c'est le responsable du dev ! C'est quand même a lui que revient la réponsabilitée de la beta il me semble... et donc c'est lui qui a fauté !

Bon, aller, on va dire, Vive Lynx !
Le #125914
A se demander comment ils font pour encore avoir des clients !
Le #125915
Un correctif qui génère des erreurs...

va falloir patcher ce patch du SP1 !!!

Faut y arrêter, là, ça décrédibilise franchement ce genre de bavures... D'autant que c'est pas la première fois, il me semble....

Bref, perso, je suis l'initiative de fabbzh2
Le #125928
lebonga >en effet ce n'est pas la première fois... et je te rassure, ca ne sera pas la dernière !
Le #125936
C'est la deuxième fois qu'il y a une histoire de correctif au deuxième niveau, je veux dire : le correctif du correctif du correctif initial.

A moins que je ne me trompe '
Le #125942
Ca va être l'enfer quand Vista va sortir si un simple patch est si compliqué à corriger, mais je me rapporte à un article qui disait que les programmeurs chez MS sont brûlés après plusieurs années de travail complexe.
Le #125944
mais vous êtes vaches ... c'est les vacances, alors chez MS c'est le Summer of Patch pour les étudiants, bon forcément parfois ça foire un peu ...
Le #125948
On va faire un peu de link83. Les gens n'ont qu'a passer au SP2 et le probleme est resolu.
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]