Vulnérabilités en cascade chez Microsoft et Oracle

L’éditeur de solutions de sécurité eEyes Digital Security a décelé, lundi 17 octobre, de nouvelles failles jugée importantes dans Internet Explorer et Windows Media Player. La société, qui pour des raisons de sécurité évidentes se garde bien de décrire les vulnérabilités en détail, précise que les failles affectent les installations par défaut de ces applications et permettent l’exécution de code à distance.

Les systèmes Windows NT, 2000 (toutes versions), XP (SP1 et SP2) ainsi que Server 2003 (y compris SP1) sont tous concernés. Ces vulnérabilités sont révélées moins d’une semaine après le bulletin mensuel de sécurité de Microsoft, qui comprenait pourtant neuf correctifs (voir édition du 12 octobre 2005). Pour l’heure, l’éditeur de Windows n’a pas réagi à l’annonce de ces nouvelles failles de sécurité qui seront probablement corrigées dans la mise à jour globale de novembre.

Risque modérément critique pour Oracle

De son côté, Oracle n’a pas attendu le mois prochain pour corriger ses applications. L’éditeur vient de mettre à disposition un ensemble de correctifs visant à combler pas moins de 85 vulnérabilités de ses produits. Une mise à jour qui intervient après l’annonce de la découverte de failles par Secunia.

Selon le prestataire de sécurité, les vulnérabilités en question sont « modérément critiques ». Bases de données, outils de CRM (gestion de la relation client), serveurs d’applications, les vulnérabilités touchent aussi bien les produits Oracle que ceux de JD Edwards et PeopleSoft. La mise à jour est donc fortement conseillée même si, parmi les 85 correctifs, certains ne concernent pas des failles de sécurité à proprement parler. Oracle précise cependant que les entreprises utilisant uniquement le client de base de données ne sont pas concernées par les correctifs.