Correctif : Microsoft comble la vulnérabilité ANI

Microsoft n’aura pas attendu la publication de son bulletin mensuel, prévu le 10 avril ce mois ci, pour distribuer le correctif qui doit combler la vulnérabilité Windows Animated Cursor Handling révélée le 30 mars 2007. Face à l’ampleur de la menace, l’éditeur avait annoncé son intention de délivrer un patch le plus vite possible.

C’est chose faite. Le 3 avril 2007, Microsoft a publié le bulletin MS07-017 qu’il convient d’appliquer au plus vite. « Nous encourageons les clients à tester et déployer cette mise à jour le plus vite possible tout en s’assurant de posséder les dernières signatures et mises à jour de vos produits de sécurité comme les antivirus », recommande Christopher Budd du centre de sécurité de l’éditeur sur le blog dédié.

Mise à jour critique

Les utilisateurs individuels sont invités à utiliser les les services de mise à jour habituels de l’éditeur (Automatic Updates, Windows Update, etc.). Les professionnels s’appuieront sur les outils Windows Server Update Services (WSUS) and Systems Management Server (SMS) pour détecter et déployer la mise à jour.

Microsoft rappelle que la faille dite ANI, propre aux fichiers d’animation du curseur de la souris, est considérée comme critique. Elle affecte toutes les plates-formes Windows, y compris Vista et Server 2003, et permet à un attaquant de prendre le contrôle distant de la machine affectée. Il faut cependant amener l’utilisateur sur une page web spécialement développée pour exploiter la faille ou bien ouvrir une pièce jointe infectieuse envoyée par e-mail.

La publication anticipé de ce bulletin de sécurité ne remet cependant pas en question celle du 10 avril, prévient Microsoft. Dès le 5 avril, les a dministrateurs pourront consulter les informations relatives à cette mise à jour mensuelle de sécurité à partir de la page consacrée à Advanced Notification.