Windows victime d’une faille XML

Microsoft a révélé, vendredi 3 novembre 2006, une nouvelle faille critique qui affecte Windows. Documentée dans l’article 927892, la vulnérabilité touche le XML Core Services 4.0 de Windows et plus particulièrement le contrôleur Active X de XMLHTTP 4.0. Windows 2000 Service Pack 4, Windows XP SP2 ainsi que Windows Server 2003 et SP1 sont concernés par la faille (si le composant XML Core Services est installé).

L’éditeur modère toutefois l’alerte en précisant que « les consommateurs qui utilisent Windows Server 2003 et Windows Server 2003 Service Pack 1 dans leur configuration par défaut, avec le mode de Sécurité Avancée activé, ne sont pas affectés ». De même, il faut visiter un une page Web vérolée pour être victime de la faille. Si celle-ci est exploitée, l’attaquant bénéficiera des mêmes droits d’utilisation que ceux de l’utilisateur local. Une attaque sur le poste d’un utilisateur avec des droits restreints porterait moins à conséquence qe sur une machine aux droits d’administrateur.

« Nous avons été informé d’attaques limitées qui tente d’exploiter la vulnérabilité dévoilée », rapporte le blogger Ben Richeson sur le site du Centre de sécurité de Microsoft. Un correctif de la faille est attendu lors de la prochaine mise à jour mensuelle de sécurité de l’éditeur. Soit le mardi 14 novembre 2006.

Pour l’heure, il n’existe donc aucun correctif officiel. Microsoft recommande de désactiver l’Active Scripting dans les zones « Internet » et « Intranet local » du navigateur Internet Explorer. Mais aussi dans les clients de messagerie Outlook Express 6, Outlook 2002 et 2003 qui peuvent être affectés via l’affichage des courriels au format HTML. A noter que la désactivation de l’Active Scripting peut perturber l’affichage de certaines pages.