C'est plus de deux fois le nombre de correctifs accompagnant la plus grosse mise à jour livrée en 2010 hors calendrier par l'éditeur. Quatre des mises à jour annoncées sont qualifiées de «critiques», c'est à dire à l'échelon le plus élevé des menaces dans le système d'évaluation à quatre niveaux de Microsoft, et les cinq autres sont notées comme "importantes", soit au deuxième rang. L'énumération des mises à jour que fait l'éditeur dans la communication mensuelle qu'il adresse à ses clients est, selon Wolfgang Kandek, chef de la sécurité informatique chez Qualys, «très importante», du fait que le mois de septembre devrait être traditionnellement un mois "off" pour les correctifs.
Une succession de mises à jour critiques
Microsoft a livré alternativement de grosses et de petites séries de patchs, réservant les mois pairs aux mises à jour les plus importantes. En août, par exemple, l'éditeur avait livré le nombre record de 14 mises à jour pour patcher 34 vulnérabilités ! La série du mois de juillet se limitait cependant à quatre bulletins de sécurité corrigeant cinq failles. Compte tenu de ces va-et-vient, on aurait pu s'attendre à ce que Microsoft émette cette fois un petit nombre de mises à jour de sécurité. « Je suis un peu surpris par la quantité, » a déclaré Wolfgang Kandek. « Peut-être que certaines d'entre elles sont destinées à résoudre la question de la .dll. » Celui-ci fait référence à une vulnérabilité qui touche un grand nombre d'applications Windows - certains chercheurs en sécurité en ont comptabilisé plus de 200 - révélée publiquement il y a trois semaines par HD Moore, chef de la sécurité chez Rapid7 et créateur de la boîte à outils Open Source Metasploit. À l'époque, HD Moore avait annoncé que plusieurs dizaines de programmes Windows étaient infectés parce qu'ils pouvaient facilement charger de mauvaises bibliothèques de code, autrement nommées "bibliothèques de liens dynamiques", ou "DLL, » offrant aux pirates la possibilité de détourner un PC.
Un outil pour bloquer les tentatives de substitution de DLL
Une semaine plus tard, l'éditeur faisait savoir qu'il ne serait pas en mesure de fournir un correctif pour Windows destiné à contrecarrer ces attaques, renvoyant le problème vers les développeurs d'applications, et leur demandant de corriger cette faille dans leurs propres produits. Microsoft a néanmoins livré un outil pour bloquer les attaques possibles, mais difficile à utiliser. « Certains des correctifs annoncés pourraient être destinés à résoudre la question des DLL, » a avancé Wolfgang Kandek, faisant référence aux deux mises à jour prévues pour corriger des vulnérabilités dans la suite Office. Les chercheurs ont estimé que plusieurs des applications Office, notamment PowerPoint 2007 et 2010 et Word 2007, étaient vulnérables au bogue, connu sous la dénomination de « détournement de DLL. » Le « Bulletin n°3 ,» inclus dans le préavis publié par Microsoft, pourrait être destiné à résoudre un problème de DLL dans Word.
Microsoft : Le Tuesday Patch du 14 septembre sera conséquent
0
Réaction
Microsoft a fait savoir aujourd'hui qu'elle livrera neuf mises à jour de sécurité la semaine prochaine pour corriger 13 bugs dans Windows, dans Office et dans son serveur web.
Newsletter LMI
Recevez notre newsletter comme plus de 50000 abonnés
Suivre toute l'actualité
Newsletter
Recevez notre newsletter comme plus de 50 000 professionnels de l'IT!
Je m'abonne
Commentaire