La volée de correctifs publiée par Microsoft ce mois-ci s'adresse à une liste impressionnante de vulnérabilités.

Comme tous les seconds mardi de chaque mois, Microsoft a publié des correctifs à destination de failles détectées dans ses logiciels. "En avril, ne te découvre pas d'un fil", prétend le dicton ; l'éditeur de Redmond semble s'en être inspiré, puisqu'il compte combler non moins de quatorze vulnérabilités, ce mois-ci.

Regroupés en cinq bulletins d'alerte (trois qualifiés de critique, un d'important, et un de modéré), ces correctifs entendent résoudre 9 failles critiques, dont 7 en relation directe avec les versions 5.0 et 6.0 d'Internet Explorer ; parmi elles, la déjà tristement célèbre faille "CreateTextRange()", par laquelle un pirate peut s'engouffrer au moyen d'une simple page Web trafiquée, et prendre le contrôle d'un PC à distance. De plus, et parallèlement à l'introduction dans Internet Explorer d'un nouvel outil contre la harponnage (phishing), mentionné dans nos colonnes, Microsoft présente aussi une ligne de défense contre une vulnérabilité encore inédite. Rien au menu pour la version Bêta d'Internet Explorer 7, en revanche.

Les utilisateurs de la base de données SQL se verront aussi "proposer" un correctif contre une vulnérabilité affectant les composants d'accès aux données MDAC (Microsoft Data Access Components) de Windows, tandis que la faille récemment relevée par Symantec dans la fonction auto-exécuter de Windows XP trouvera ici à qui parler.

Les deux derniers bulletins concernent le client e-mail Outlook Express ("important"), et l'outil de création de pages Web FrontPage ("modéré"), mais plusieurs experts s'accordent sur le fait que depuis l'apparition du Service Pack 2 de Windows XP, la nature des menaces a changé. Désormais, estiment-ils, on a le plus souvent affaire à des attaques nécessitant une action de la part de l'utilisateur, mais comme le souligne l'un de ces spécialistes, "on ne peut empêcher un internaute de cliquer là où il ne devrait pas..."

Monsieur de La Palisse n'aurait pas dit mieux...


Source : InformationWeek