Microsoft corrige la vulnérabilité VML

Cloud

L’ampleur de la faille contraint l’éditeur à anticiper sa mise à jour.

Microsoft a mis en ligne une mise à jour exceptionnelle qui permet de réparer une vulnérabilité activement exploitée au niveau du VML (Vector Markup Language) du système d’exploitation Windows.

L’éditeur a finalement corrigé cette faille qui permettait à un pirate de prendre le contrôle d’un système grâce à un site Web détourné ou en envoyant des spams.

Microsoft avait initialement prévu de mettre en ligne son correctif le 10 octobre, en même temps que son cycle de correctifs mensuel. Mais il arrive que l’éditeur soit amené à procéder à des mises à jour anticipées lorsque cela peut permettre de stopper des attaques actives.

La vulnérabilité VML est apparue pour la première fois la semaine dernière en Russie, où de petits groupes de sites Web ont commencé à exploiter cette faille encore non patchée. L’exploitation de cette vulnérabilité s’est rapidement propagée durant le week-end après que l’exploit ait été introduit dans une boîte à outils malveillante baptisée « WebAttacker » qui a ainsi facilité son exécution.

Les utilisateurs ayant appliqué une solution temporaire sont invités à annuler leurs modifications avant d’appliquer le correctif.
Les experts en sécurité recommandent aux utilisateurs d’appliquer le correctif dans les meilleurs délais. Les utilisateurs peuvent d’ores et déjà obtenir la mise à jour en activant la fonction Auto Update de Windows ou en la téléchargeant directement sur le site de Microsoft.

Traduction d’un article de Vnunet.com en date du 27 septembre 2006