Microsoft comble une faille ouverte depuis trois mois

Microsoft a publié, lundi 2 février 2004, son bulletin de sécurité mensuel (MS04-004). Le correctif du mois cumule plusieurs mises à jour de failles jugées « critiques » (le niveau le plus élevé sur l’échelle de l’éditeur), dont une qui datait de près de trois mois (voir édition du 28 novembre 2003). Ces vulnérabilités permettaient notamment d’introduire un cheval de Troie (Troyen) afin de prendre le contrôle à distance d’un ordinateur via une page HTML ou un e-mail. Une méthode très utilisée par les spammers qui utilisent les ordinateurs de particuliers afin de lancer leurs campagnes publicitaires.

Une autre faille permet de falsifier une URL afin de détourner l’internaute vers un site pirate où la victime risque de dévoiler des données personnelles (adresse, codes confidentiels, numéro de carte de crédit…, voir édition du 11 décembre 2003). Cette faille affectait les versions 5.01, 5.5 et 6 d’Internet Explorer et toutes les plates-formes Windows depuis la version 98.

Un retard non expliqué

Microsoft n’a avancé, dans son bulletin, aucune explication quant au retard de ces mises à jour. Une lacune que certains éditeurs avaient tenté de combler en proposant leurs propres solutions, plus ou moins heureuses. L’application du patch est fortement conseillée, soit en le téléchargeant à partir du site de Microsoft, soit en utilisant la fonction WindowsUpdate. Hasard du calendrier, Microsoft propose son correctif à la veille de l’attaque de son serveur Web programmée par le virus MyDoom.B (voir édition du 2 février 2004).