Microsoft signale une nouvelle vulnérabilité de Windows

[Mise à jour le 18/11 à 15h30] Microsoft a publié, le 16 novembre 2005, une alerte de sécurité exceptionnelle et complémentaire à son bulletin de novembre dernier, qui ne rapportait qu’une seule faille critique (voir brèves du 8 novembre 2005). Cette alerte concerne les systèmes Windows 2000 SP4 et Windows XP SP1. Les versions XP SP2 et Server 2003 ne seraient pas affectées.

Cette faille est manifestement assez sérieuse pour que Microsoft n’attende pas le prochain bulletin mensuel de sécurité pour la dévoiler. Et pour cause : des preuves de l’exploitabilité de la faille (proofs of concept) ont été rapportées à l’éditeur, qui a donc toutes les raisons de craindre qu’elle ne soit utilisée prochainement par des individus malintentionnés. S’il se garde bien de détailler la faille, Microsoft précise qu’elle permet de lancer une attaque par saturation (denial of service) par l’intermédiaire du service de contrôle distant (RPC).

Un composant accessible à distance

Sous Windows XP SP1, la vulnérabilité n’est exploitable à distance que si l’on dispose d’un compte d’accès standard (un accès anonyme sera sans effet). L’éditeur, faute de correctif immédiat, recommande de se protéger via un pare-feu et en contrôlant les ports ouverts. A ce jour, aucune attaque n’aurait été répertoriée. Microsoft se veut rassurant en déclarant qu’il « surveille activement la situation afin de tenir ses clients informés et de les guider si nécessaire ». Ce qui ne doit pas empêcher les utilisateurs concernés de rester vigilants.