Windows XP, Flash, RealOne… la semaine des correctifs

Une nouvelle fois, Microsoft défraie la chronique avec de nouvelles failles de sécurité qui affectent Windows XP et plusieurs de ses composants. Dans son bulletin de sécurité MS02-072, Microsoft indique qu’un marqueur (ou tag) inséré dans un fichier MP3 ou WMA peut affecter le shell de Windows XP et permettre l’exécution d’un programme sur la machine locale à l’insu de son propriétaire. Face aux millions de fichiers MP3 qui s’échangent sur le Net chaque jour, on comprend que la faille soit classée « critique » par l’éditeur de Redmond qui a mis un correctif en ligne. Cette faille est susceptible d’affecter Windows Media Player mais aussi, a priori, les autres lecteurs de fichiers musicaux dont WinAmp.

RealNetworks n’est pas non plus épargné par les problèmes de sécurité dans ses logiciels. Son player RealOne fait l’objet de neuf trous de sécurité et bogues divers depuis quelques temps. Le plus grave d’entre eux peut conduire à un buffer overrun (saturation de la mémoire tampon) qui peut autoriser un attaquant à prendre la main sur l’ordinateur distant. Aucune attaque de ce type n’aurait été répertoriée selon RealNetworks qui vient de mettre un correctif en ligne.

Enfin, le lecteur Flash de Macromedia n’est pas épargné. Le célèbre plugin pour navigateurs qui permet de jouer des animations au format Shockwave-Flash (.swf) est affecté d’une vulnérabilité critique. Celle-ci permet, à partir d’un fichier Flash contenu dans une page Web ou un e-mail au format HTML, de prendre le contrôle distant de l’ordinateur affecté. Cette faille concerne toutes les versions de Flash sur toutes les plates-formes. Macromedia recommande de télécharger la version la plus récente de son plug-in mais n’a toujours pas mis de correctif à jour. Il y travaille avec la société eEye Digital Security. Qu’ils se pressent !