Failles critiques dans IE9, faille 0-day XML (Windows 8 compris)

Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

Actualités Failles critiques dans IE9, faille 0-day XML (Windows 8 compris)

Publié le 11 juillet 2012 à 09:45 par Jérôme G.

Lire sur mobile

Microsoft corrige des vulnérabilités de sécurité critiques dans Internet Explorer 9 et comble la vulnérabilité 0-day affectant MSXML. Windows 8 a aussi droit à son patch.

Comme tous les deuxièmes mardis de chaque mois, Microsoft a livré son Patch Tuesday. Une fournée de rustines pour corriger des vulnérabilités de sécurité. Pour ce mois de juillet, ce sont 9 mises à jour de sécurité qui sont proposées afin de combler un total de 16 failles dans Windows, Internet Explorer, Visual Basic for Applications, Office ( Office pour Mac 2011 ).

Parmi ces mises à jour, trois sont classées critiques et les six autres importantes. Comme on pouvait s'y attendre, une mise à jour critique corrige la faille XML découverte par Google. Cette vulnérabilité dans XML Core Services ( MSXML ) est exploitée depuis plusieurs semaines dans le cadre d'attaques ciblées. Le code de l'exploit a été rendu public la semaine dernière.

En dépit de cela, Microsoft n'a pas procédé à une publication en urgence du correctif. À noter toutefois qu'un Fix-it était proposé. Selon Microsoft, toutes les attaques actuelles tirent parti de MSXML Core Services 3.0. MS12-043 corrige la vulnérabilité pour les versions 3, 4 et 6 de MSXML mais pas pour la version 5 ( utilisée avec Office 2003 et 2007 ) qui bénéficiera d'une correction ultérieure.

Pour cette faille d'exécution de code à distance, toutes les versions de Windows sont concernées, même la Consumer Preview et Release Preview de Windows 8.

Une autre mise à jour critique ( MS12-044 ) s'adresse à Internet Explorer uniquement dans sa version 9. En l'occurrence, il s'agit de corriger deux vulnérabilités qui ont toutefois été signalées de manière confidentielle à Microsoft. Toutes deux peuvent être exploitées via une page Web malveillante et permettre à l'attaquant une exécution de code à distance.

Le fait que IE9 soit le seul concerné est un signe que les chercheurs en sécurité focalisent de plus en plus leur attention sur la dernière mouture actuelle du navigateur. Par ailleurs, Microsoft indique avoir augmenté ses ressources pour Internet Explorer, de manière à pouvoir publier une mise à jour au cours de n'importe quel mois. Auparavant, la cadence était bimensuelle.

La dernière mise à jour critique ( MS12-045 ) est pour le composant MDAC de Windows. Microsoft Data Access Components permet à Windows d'accéder à des bases de données comme SQL Server. Cinq vulnérabilités ont été signalées confidentiellement.

Microsoft rappelle également qu'au mois d'août prochain, Windows va gérer différemment les certificats avec des clés RSA d'une longueur inférieure à 1024 bits. Par défaut, ils seront tous considérés invalides.