Windows : faille XML découverte par Google

Le par  |  4 commentaire(s)
Patch Tuesday

Si Microsoft a corrigé plusieurs vulnérabilités dans son Patch Tuesday de juin, il y a une omission pointée du doigt par Google. Une vulnérabilité critique au niveau de XML est actuellement exploitée.

Aïe... en dépit du Patch Tuesday de juin, une vulnérabilité 0-day demeure. Découverte par Google, elle est activement exploitée dans le cadre d'attaques ciblées. Google a fait part de sa trouvaille à Microsoft le 30 mai dernier. Manifestement, pas suffisant pour préparer un correctif un bonne et due forme, même si Google souligne que Microsoft a été réceptif.

Google indique que les attaques sont menées via des pages Web malveillantes destinées aux utilisateurs d'Internet Explorer et via des documents Office. De Windows XP à Windows 7, les utilisateurs sont vulnérables.

Patch TuesdayDans un avis de sécurité, Microsoft a confirmé une vulnérabilité présente dans Microsoft XML Core Services - ou MSXML ; installé par défaut dans Windows - qui affecte toutes les versions en cours de support de Windows, ainsi que Office 2003 et 2007.

Microsoft se montre plutôt rassurant en soulignant que du code arbitraire peut être exécuté dans le contexte de l'utilisateur connecté. Les comptes qui n'ont pas de privilèges administrateur sont donc moins touchés. Reste que pour Secunia, le niveau de dangerosité est maximal.

Pas de mise à jour de sécurité en urgence pour le moment, mais tout de même un Fix-it à appliquer manuellement.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #971271
Des petits trous toujours des petits trous ...
Le #971321
y'a un fix it et on peut aussi utiliser EMET 3.0 téléchargeable ici: http://www.microsoft.com/en-us/download/details.aspx?id=29851
Cette application active des systèmes de défense supplémentaires pour les logiciels que l'on met sous sa protection.
Il suffit donc de rajouter Iexplorer.exe (32 et 64bits) pour que la faille ne soit plus exploitable. cf: http://technet.microsoft.com/en-us/security/advisory/2719615
Le #971571
Je me dit parfois en lisant ce genre de nouvelle que je suis pas malheureux d'avoir un double boot avec Unbutu 12.04.
C'est incroyable les failles de sécurité sur Windows (windows cassée).
Le #971911
Microsoft ne recrute que des personnes ayant de très hauts diplômes. On voit le résultat.
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]