Microsoft oublie des failles du Pwn2Own

Le par  |  3 commentaire(s)
Pansement

Microsoft livre sa nouvelle fournée mensuelle de correctifs de sécurité mais ne comble pas les vulnérabilités d'Internet Explorer exploitées lors du concours Pwn2Own de début mars.

Comme prévu, Microsoft publie neuf mises à jour de sécurité dans le cadre de son Patch Tuesday d'avril 2013. Elles comblent un total de 14 vulnérabilités dans Windows, Internet Explorer, Office, SharePoint ou encore l'antimalware Windows Defender pour Windows 8 et RT. Un dernier outil qui a récemment eu les honneurs des évaluations d'AV-Test.

La firme de Redmond a identifié deux mises à jour critiques pour des exécutions de code à distance et dont le déploiement est prioritaire. MS13-029 corrige une vulnérabilité signalée confidentiellement dans le client Bureau à distance de Windows. Sont principalement concernés Windows XP, Vista et Windows 7. Le problème réside dans le contrôle ActiveX Remote Desktop (mstscax.dll).

Microsoft-Patch-Tuesday-avril-2013La deuxième mise à jour critique est MS13-028. Il s'agit d'une mise à jour cumulative pour Internet Explorer. Elle concerne toutes les versions supportées d'IE, soit de IE6 à IE10 et pour tous les Windows. L'indice d'exploitabilité est de 2, ce qui implique que le code d'exploitation serait difficile à concevoir.

Ce sont deux vulnérabilités pour IE qui ont été rapportées confidentiellement à Microsoft par des chercheurs en sécurité de Google. Surprise... pas de correction pour les vulnérabilités utilisées lors du concours de hacking Pwn2Own début mars. VUPEN Security confirme que ses exploits 0-day sont toujours d'actualité.

Mozilla pour Firefox et Google pour Google Chrome avaient proposé des correctifs de sécurité dans les 24 heures après l'exploitation de failles dans le Pwn2Own. Mais pour Microsoft, il n'y a pas d'urgence.

Comme pour "l'omission" dans le Patch Tuesday de mars, Microsoft justifie travailler avec la communauté de la sécurité afin de protéger ses clients et rappelle que les organisateurs du Pwn2Own ne divulguent pas publiquement les problèmes identifiés lors du concours. Pour le moment, Microsoft n'a pas connaissance d'une quelconque attaque et estime que les failles ne devraient pas affecter ses clients. Alors à quand une correction ?

Le géant du logiciel rappelle par ailleurs que Windows XP prend sa retraite définitive dans un an, le 8 avril 2014. Dès lors, il n'y aura plus aucune mise à jour sécurité.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1257252
Windows XP prend sa retraite définitive, Microsoft n'est pas de première jeunesse et commence à fatiguer (ça fait longtemps qu'il me fatigue personnellement). Alors c'est pas bien de se moquer des signes de sénilité d'un vieillard.
Le #1257492
penseurodin a écrit :

Windows XP prend sa retraite définitive, Microsoft n'est pas de première jeunesse et commence à fatiguer (ça fait longtemps qu'il me fatigue personnellement). Alors c'est pas bien de se moquer des signes de sénilité d'un vieillard.


N'empêche que le vieillard est comme un "parrain de la Cosa Nostra", même sénile il continue a diriger son empire et ses sous-fifres lui obéissent sans broncher
Le #1257652
Ulysse2K a écrit :

penseurodin a écrit :

Windows XP prend sa retraite définitive, Microsoft n'est pas de première jeunesse et commence à fatiguer (ça fait longtemps qu'il me fatigue personnellement). Alors c'est pas bien de se moquer des signes de sénilité d'un vieillard.


N'empêche que le vieillard est comme un "parrain de la Cosa Nostra", même sénile il continue a diriger son empire et ses sous-fifres lui obéissent sans broncher


Ses effectifs sont en baisse et de jeunes loups aux dents longues commencent à s'y voire.
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]