Le contenu du Patch Tuesday de septembre est désormais connu, et comme l'avait indiqué au préalable Microsoft il ne propose pas de mise à jour afin de combler la faille Internet Information Services qui a été divulguée la semaine dernière.

Cette faille dans le service FTP de IIS permet une exécution de code à distance avec un attaquant qui doit créer un répertoire ftp sur le serveur. Les systèmes vulnérables sont ceux où le service FTP est activé avec accès en écriture pour les utilisateurs anonymes, et exécuté dans IIS 5.0, 5.1, 6.0 et 7.0. Le panel des Windows concernés va de Windows 2000 à Windows Vista, mais pas Windows 7 ou Windows Server 2008 R2 avec IIS 7.5.
 
Une autre faille a été " oubliée " dans le Patch Tuesday et Microsoft vient à peine de la confirmer en publiant à son sujet un avis de sécurité. Elle a été rendue publique en tout début de semaine et nous l'avions signalée dans l'une de nos actualités. Affectant le protocole SMB dans sa version 2.0 introduite dans Windows Vista ( pas dans Windows XP ou Windows 2000 ), un doute planait quant à sa présence dans Windows 7 puisque son découvreur avait taxé l'OS de vulnérable, mais le code exploit circulant sur la Toile ne fonctionnait pas.

Microsoft précise au niveau de cette faille qu'elle affecte bel et bien Windows 7 mais dans sa version RC de développement. Windows 7 RTM au code finalisé n'est pas contre pas touché, au même titre que Windows Server 2008 R2. Pour la contourner, Microsoft préconise de désactiver SMB2 via le registre ou de bloquer les ports 139 et 445 au niveau du pare-feu.

Ces failles pourront faire l'objet d'une publication en urgence de Microsoft, à défaut de correctifs qui devront attendre le prochain Patch Tuesday d'octobre.