janvier 12th, 2011

Deux bouchons avec plein de trous autour : Le Patch Tuesday de janvier est famélique . Il ne compte ce mois-ci qu’un MS11-001 qualifié d’« important »… reste qu’il s’agit une fois de plus d’une possible attaque en « pré-chargement de dll », un défaut Windows qui empoisonne Microsoft depuis quelques mois déjà. Cette fois, le problème ne concerne que le Backup Manager de Vista SP1 etSP2, versions 32 et 64 bits (les autres versions de Windows ne sont pas concernées, pas même XP et 2003 Server).

MS11-002, quant à lui, est considéré comme très critique. Il s’agit d’un défaut Mdac qui touche toutes les versions de Windows, de XP à 2008R2. Cette rustine comble en fait deux vulnérabilités, dont un risque d’attaque en saturation de DNS (CVE-2011-0026) et un problème d’allocation mémoire déclenché à l’aide d’une page Web forgée (CVE-2011-0027).

L’on doit également signaler l’ajout de certaines mesures de contournement sensées minimiser les risques de la « faille CSS » qui affecte Internet Explorer, et qui n’a toujours pas été corrigée à ce jour, malgré une nette confirmation de son utilisation « dans la nature ». Le bulletin d’alerte 2488013 le concernant a été revu et augmenté par 3 recettes situées dans le chapitre « workaround » de ladite notification. Un autre défaut, concernant le moteur de rendu graphique, ainsi que deux failles non dévoilées mais revendiquées la semaine passée par des chercheurs de Qualys, seraient également en cours d’évaluation et de traitement par le Response Team de Microsoft.

Même les spammeurs prennent des vacances nous apprennent les statisticiens du Sans. Les « canons à spam » se sont tus durant la trêve des confiseurs, mais reprennent de plus belle depuis …