Un seul serait mortel, pour I.E. 6 et 7. Les rustines « out of band » concernent généralement les failles ayant fait l’objet d’une publication d’exploit et d’une utilisation active par des malwares… ce qui est précisément le cas de l’alerte 981374. Alerte qui, par la magie des transmutations des failles en rustine, prend l’immatriculation MS10-018. Comme il s’agit d’un problème affectant Internet Explorer, l’un des maillons les plus prolifiques dans la chaine de production de bugs Microsoft, l’équipe du MSRC prévient ses lecteurs qu’elle en a profité pour caser dans le lot neufs autres correctifs de moindre criticité qui étaient initialement attendus pour la livraison du 13 avril prochain.
Le « bug mortel » ne concerne que les éditions 6 et 7 du navigateur. Cependant, puisque d’autres correctifs colmatent des trous de sécurité I.E.8, MS10-018 concerne absolument tout le monde.
A lire à ce sujet le papier de Craig Schmugar de l’Avert, qui dresse quelques statistiques précisément sur la présence détectée de la CVE-2010-0806, celle-là même qui est colmatée par la rustine en question. Le moins que l’on puisse dire, c’est que le danger n’est pas nul.
Sera-t-il appliqué, ou passera-t-il inaperçu, le correctif transitoire baptisé « Disable peer factory in iepeers.dll ». ? Ce patch temporaire répondant à l’alerte 981374 colmate une faille particulière qui n’affecte que I.E. 6 et 7, probablement le navigateur le plus utilisé en entreprise à l’heure actuelle, et dont la mise à niveau donne quelques migraines aux responsables de déploiement. Migraines qui ont de fortes chances de s’intensifier puisque, précise-t-on chez Microsoft, un exploit qui utilise cette vulnérabilité aurait été détecté « dans la nature ».
L’alerte en question avait largement été médiatisée à l’occasion du dernier mardi des rustines, conjointement à un autre avertissement, le fameux défaut « press F1 to be p0wn3d » (encore à l’état de preuve de faisabilité).
Cette semi-rustine est donc un semi « out of band » destiné à contrer un semi-danger, semi-diffusé et semi-médiatisé. Tout juste de quoi être à moitié inquiété.
L’indice de risque des seules MS-010-016 et MS-010-017 est teinté de carmin. Le « patch Tuesday » de ce mois de mars est d’autant plus intéressant qu’il se focalise sur un produit mineur (une faille de Movie Maker) et un défaut touchant un produit bureautique, Excel, tant sous Windows que sur Macintosh. En revanche, il n’y aura pas de correctif dans l’immédiat pour le trou de sécurité « appuyez sur F1 pour vous faire attaquer ». A noter également une mise à jour d’un ancien bulletin de sécurité concernant les machines virtuelles MS, ainsi qu’une alerte portant sur un problème lié à VBScript (via I.E.) sous Windows 2000/2003. A cette liste l’on doit ajouter l’avertissement 981374 qui concerne directement un défaut d’I.E. 6 et 7 actuellement activement exploité dans le cadre d’un drive by download. L’équipe de l’Avert Lab en fait même une alerte au zéro day
Par le jeu des « correctifs cumulatifs » qui masquent en fait plus de 7 failles différentes sous Excel dans la rustine ms10-017, l’on en arrive à un total de 13 dangers potentiels, donc une partie ne fait pas encore l’objet de mesures de prévention. Ces failles encore ouvertes sont, pour l’heure, considérées comme peu importantes ou ne représentant pas un risque immédiat, exception faite de la 981374, qui pourrait bien déclencher la diffusion d’un bouchon « out of band » dans le courant du mois.
lun | mar | mer | jeu | ven | sam | dim |
---|---|---|---|---|---|---|
« Déc | ||||||
1 | 2 | 3 | ||||
4 | 5 | 6 | 7 | 8 | 9 | 10 |
11 | 12 | 13 | 14 | 15 | 16 | 17 |
18 | 19 | 20 | 21 | 22 | 23 | 24 |
25 | 26 | 27 | 28 | 29 | 30 |