Microsoft prévoit de corriger 8 bugs Windows et Office cette semaine
Microsoft a annoncé aujourd'hui qu'elle s'engageait à livrer deux mises à jour de sécurité mardi 9 mars pour corriger huit vulnérabilités dans Windows et Office. On est loin des 13 bulletins de sécurité et des 26 failles de février.
Selon Andrew Storms, directeur des opérations de sécurité chez nCircle Network Security, ce ralentissement n'était pas inattendu. « Ceci est révélateur du cycle de correctifs de Microsoft. » Le mois dernier, les mises à jours concernaient plutôt les systèmes d'exploitation, ce mois-ci ce sont des patchs qui s'appliquent à certaines applications, » a t-il ajouté.
« Traditionnellement le mois de mars n'est pas non plus une période de mise à jour pour Microsoft, » fait remarquer Andrew Storm, « alors que Février a toujours été très riche. » En Mars 2009, par exemple, Microsoft avait publié trois bulletins, tandis qu'en Mars 2008, il en a livré quatre. Les deux mises à jour sont néanmoins qualifiées d' «importantes», soit au second rang de gravité dans les quatre établis par Microsoft. Ces vulnérabilités permettent en effet à des attaquants d'insérer du code malicieux sur les PC non patchés, ce qui, à première vue, pourrait sembler plus critique que l'estimation de Microsoft. « Lorsque Microsoft qualifie un patch d'« important »mais indique également que la vulnérabilité permet l'exécution de code à distance, cela signifie généralement qu'il y a un certain état par défaut qui permettraient d'atténuer les attaques pour tous les utilisateurs, » a déclaré Andrew Storms. « Cela peut résulter d'un paramètre par défaut qui protège les utilisateurs, ou du fait que la vulnérabilité est contenue dans un composant qui n'est pas chargé par défaut».
Une nouvelle faille dans les trois derniers OS
Le premier patch va corriger une ou plusieurs vulnérabilités dans Windows XP, Vista et Windows 7, et modifie les récents Service Packs pour Windows XP et Vista, SP3 et SP2, respectivement. Les versions 32 et 64 bits des trois systèmes d'exploitation sont affectés par ce bug, d'après la description laconique qu'en fait Microsoft.
Le second patch procède à l'annulation d'un ou plusieurs bugs dans Excel 2002, Excel 2003 et Excel 2007 sur Windows, Excel 2004 et Excel 2008 sur Mac, et d'autres fichiers Excel et composants associés aux systèmes de conversion de fichiers dans les suites Office. Andrew Storms a souligné que le patch réparerait aussi la version Excel d'Office 2007 SP2. « C'est le plus récent et le plus important à être patché, » a déclaré Andrew Storms, ajoutant que « des indices dans le préavis pointes sur un problème de format de fichier, probablement dans l'outil de convertisseur de fichiers livré avec Office. » Andrew Storms s'est même étonné : « Mais que se passe-t-il? » a t-il demandé. «Le format de fichier le plus récent datant de 2007, était censé être le plus sûr». « Les deux updates réparent des bugs qui ne peuvent être exploités que si les utilisateurs sont incités à ouvrir un fichier malveillant, » a déclaré dans son blog Jerry Bryant, cadre supérieur au Centre de recherche sur la sécurité de Microsoft (MSRC). « Il n'y a pas de vecteurs d'attaque agissant en réseau, » a promis M. Bryant.
[[page]]
Aucuns des patchs ne correspond aux alertes de sécurité largement diffusées par Microsoft mais pour lesquelles l'éditeur n'a encore fourni aucun correctif, y compris l'un datant de novembre 2009. À l'époque, Microsoft a reconnu qu'un bug dans le SMB (Server Message Block), un fichier réseau et un protocole de partage d'impression développés par Microsoft, pourrait être utilisé par des attaquants afin de paralyser des machines tournant sous Windows 7 et Windows Server 2008 R2.
« Les mises en garde les plus récentes, comme celle du mois dernier concernant un bug dans Internet Explorer et une autre publiée lundi sur une faille dans le VBScript, sont également exclues de la liste de correctifs, » a fait remarquer Andrew Storms. Pour éviter le bug du VBScript, qui peut être exploité via Internet Explorer, Microsoft donne un conseil hors du commun: « Ne pas appuyer sur la touche F1».
Un patch retardé
L'absence de patch pour le bug SMB a conduit Andrew Storms à spéculer sur le fait que Microsoft avait peut-être eu des problèmes pour créer et tester son correctif, ou avait trouvé plus de bugs que prévu pendant son enquête. « Peut-être ont-ils trouvé d'autres problèmes qu'ils voulaient résoudre en même temps, » a t-il déclaré. Il manque également ce mois-ci une mise à jour d'Adobe, qui a lié la livraison de ses correctifs trimestriels pour Acrobat et Reader à celle du patch de Microsoft. Les prochaines mises à jour d'Adobe ne sortiront donc que le 13 avril.
Quant à Jerry Bryant du MSRC, il a rappelé aux utilisateurs que plusieurs éditions de Windows seront pratiquement mise de force à la retraite faute de support, à commencer par Vista RTM (privé de support après le 13 avril), Windows XP SP2 et Windows 2000 (privés de support après le 13 juillet), et a vivement encouragé les utilisateurs de ces versions à se mettre à niveau.