Bulletin de décembre : une vulnérabilité critique affecte Internet Explorer
Un système non mis à jour autoriserait l’exécution de code à distance par une personne malintentionnée.
Comme tous les deuxièmes mardis du mois (ou presque), Microsoft a publié le 13 décembre son bulletin mensuel de sécurité. Au menu du jour, l’éditeur nous fait part de deux vulnérabilités, l’une critique, l’autre jugée importante.
Présentée dans le correctif MS05-054, la faille critique affecte différentes versions d’Internet Explorer (depuis la 5.01 à la 6) et la plupart des versions récentes de Windows (de Windows 2000 SP4 à Windows XP SP2 en passant par les versions Server 2003 et 64 bits) et permet l’exploitation de code à distance sur la machine affectée.
Le correctif MS05-054 intègre un ensemble de mises à jour précédentes que le système n’installera que si les vulnérabilités n’ont pas déjà été colmatées. Il remplace ainsi le précédent bulletin MS05-52 qui, il y a deux mois, bouchait pas moins de neuf trous de sécurité (voir édition du 12 octobre 2005).
La vulnérabilité décrite dans le bulletin MS05-055 n’affecte que Windows 2000 SP4. Elle permet d’accorder des privilèges d’administrateur à celui qui exploite la faille. « Un attaquant qui exploite avec succès cette vulnérabilité pourrait prendre le contrôle complet du système affecté », écrit Microsoft dans son bulletin, « l’attaquant pourrait alors installer des programmes, voire changer ou supprimer des données, ou créer un nouveau compte avec l’intégralité des droits utilisateur. » On pourra donc trouver étonnant que l’éditeur ne considère pas cette faille comme critique.
Un outil d’analyse en ligne
Microsoft en a profité pour mettre à jour son bulletin MS05-050, qui concerne une vulnérabilité jugée critique et touchant les systèmes Windows 2000 SP4, Windows XP SP1 et Windows Server 2003, et particulièrement les composants ActiveX depuis la version 7.0. Cette faille ne concerne pas « les utilisateurs qui ont appliqué la version de DirectX appropriée à leur version de Windows ». Les autres sont invités à vérifier leur système et, si besoin, faire la mise à jour.
Si l’administrateur système penchera pour une installation manuelle des correctifs, l’utilisateur résidentiel aura plus vite fait de mettre à jour son système par l’intermédiaire du service Microsoft Update. Il pourra également vérifier l’intégrité de sa machine à travers le service Windows Live Safety Center qui propose un outil d’analyse en ligne du système. Inutile de préciser que l’outil ne fonctionne qu’avec Internet Explorer et qu’il faut, de plus, autoriser l’affichage des fenêtres pop-up. Pour le moment proposé en version bêta, Windows Live Safety Center est gratuit.