Microsoft livre enfin la mise à jour de son correctif défaillant
La nouvelle version du bulletin MS06-042 devrait en finir avec les failles de
sécurité ouverte avec le correctif précédent.
L’attente a pris fin. Avec deux jour de retard sur la date initialement annoncée, Microsoft vient, le 24 août 2006, de mettre à jour son correctif de sécurité MS06-042 qui, depuis apparition dans le bulletin mensuel de l’éditeur (voir édition du 9 août 2006), présentait des défaillances. Le correctif causait notamment la fermeture du navigateur Internet Explorer 6 SP1 lorsque celui-ci tentait d’afficher une page Web sous protocole de compression HTTP 1.1. Selon Eeye, ce bug générait une vulnérabilité de sécurité critique parfaitement exploitable (voir édition du 24 août 2006).
C’est finalement l’avis de l’éditeur de Windows qui a également classé la version 2 de son correctif en catégorie « critique ». Le nouveau correctif comble pas moins de neuf vulnérabilités dont six permettent l’exécution de code à distance (notamment à travers la corruption de mémoire dans l’usage des feuilles de styles CSS, le rendu HTML, l’usage des URL longues ou des redirections de pages Web).
De plus, les vulnérabilités affectent un plus grand nombre de plates-formes que précédemment. A savoir Windows 2000 SP4 et XP SP1, comme révélé alors, mais aussi Windows XP SP2, XP Professional x64 Edition et Windows Server 2003 (SP1, x64 et Itanium/SP1). Outre IE 6, la version 5.01 SP4 du navigateur est également concernée par la mise à jour. Une réactualisation à effectuer de toute urgence, donc, par les canaux habituels : automatiquement par les services Windows Update ou Microsoft Update ou manuellement selon les composants affectés via le centre de support pour les professionnels.