Microsoft Patch Tuesday : quatre correctifs dont la faille DNS

Cloud

Exchange, SQL, Explorer et, surtout, la gestion des DNS au niveau serveur et client sont concernés par le bulletin de sécurité de juillet chez Microsoft.

Une fois n’est pas coutume, aucune vulnérabilité considérée comme « critique » ne vient animer le bulletin mensuel de sécurité pour ce mois de juillet. Les quatre correctifs proposés (MS08-037 à 40) n’en sont pas moins « importants » et il conviendra de mettre à jour les systèmes au plus vite pour éviter d’éventuelle attaques, soit par élévation de privilège, soit par exécution distante de code.

Le gestionnaire de fichier Windows Explorer, le module Outlook Web Access (OWA) pour le serveur Exchange, SQL Server et le gestionnaire de nom de domaine (DNS) sont concernées par les correctifs sur les plates-formes Windows 2000 SP4 (pour SQL Server 2000), Windows XP SP 2et 3 et Edition 64 bits SP2, Windows Server 2003 SP 1 et 2 pour Itanium, Windows Vista et SP1, ainsi que Windows Server 2008 (Edition 64 et Itanium comprises).

A noter que l’ensemble des plates-formes sont affectés par la faille DNS, pour la version client ou serveur selon le système. Le correctif de cette vulnérabilité a bénéficié d’un effort commun à Microsoft, Cisco et Sun Microsystem. Sous la houlette du découvreur de la brèche de sécurité, Dan Kaminsky, responsable des tests d’intrusion chez IOActive, le développement du patch a nécessité 6 mois de travail dans le plus grand secret pour ne pas (trop) mettre en éveil les pirates.

Détournement de trafic web

La faille en question permettait d’injecter des informations erronées dans les caches des serveurs de DNS (qui assurent la translation entre une adresse alphanumérique en numéro IP du serveur) afin de détourner un trafic Web et mail vers des sites malveillants (faux sites de banque ou de e-commerce généralement) dans le but de soutirer à l’internaute des informations confidentielles (codes secret, numéro de carte bancaire…) à son insu. Un correctif d’une importance telle qu’on se demande ce qui pousse Microsoft à ne pas classer la vulnérabilité dans la catégorie « critique ».

Dans une alerte à part du bulletin mensuel mais également datée du 8 juillet, Microsoft informe que des vulnérabilités touchent l’application Office Word 2002 Service Pack 3 exclusivement. A partir du chargement d’un fichier .doc malformé, la faille permet l’exécution de code distant. Les autres instances du traitement de texte (y compris Word 2000) ne sont pas concernées, selon l’éditeur. Aucun correctif n’est pour le moment proposé par Microsoft.