Microsoft retarde encore la mise à jour d’un correctif bugué

Le 15 août dernier, Microsoft reconnaissait que son correctif MS06-042 publié une semaine auparavant (voir édition du 9 août 2006) rencontrait des problèmes. Développeur au centre de sécurité de l’éditeur, Mike Reavey précisait dans son blog que la mise en place du correctif provoque la fermeture du navigateur Internet Explorer 6 SP1 lorsque celui-ci affiche une page qui utilise les protocole de compression HTTP 1.1. L’incident se limiterait aux plates-formes Windows 2000 SP4 et XP SP1. Windows XP SP2 serait en revanche épargné.

Pour résoudre le problème, Microsoft avait programmé au 22 août la disponibilité d’un nouveau correctif. Mais la date est passée sans l’ombre d’un patch en vue. « Microsoft réalisera la mise à jour d’Internet Explorer 6 Service Pack 1 quand il aura atteint un niveau suffisant de qualité en vue d’une large distribution », justifie l’éditeur dans son bulletin 923762 publié le 22 août. Aucune nouvelle date n’est mise en avant. En attendant l’arrivée du nouveau patch, l’équipe de sécurité recommande tout simplement de désactiver le support du protocole HTTP 1.1 dans le navigateur.

Microsoft a également reconnu que le correctif MS06-042 était affecté d’une faille de sécurité importante qui pourrait conduire à un débordement de mémoire tampon. Une défaillance souvent utilisée par les pirates dans les attaques de systèmes informatiques. L’éditeur se veut rassurant en parlant d’un bug local et en précisant qu’il n’a, à ce jour, été alerté d’aucune attaque de ce type exploitant la vulnérabilité en question. Ce n’est pas l’avis de la société de sécurité eEye Digital Security. « Après enquête […] nous alertons les gens de la véritable sévérité de ces problèmes de « plantages » [du navigateur] », souligne l’entreprise. Laquelle n’hésite pas à classer la vulnérabilité au niveau  » critique ».