Sécurité : trois failles critiques en août chez Microsoft
Les vulnérabilités concernent Internet Explorer et Windows. Les plus importantes autorisent la prise de contrôle distante de la machine affectée.
Sur les 6 vulnérabilités annoncées par Microsoft dans son pré-bulletin de sécurité (voir édition du 9 août 2005), trois sont finalement jugées critiques, une est « importante » et les deux autres restent modérées. Les trois failles critiques affectent quasiment toutes les versions de Windows (Windows XP SP1, SP2 et x64 Edition/2000 SP4/Server 2003/98) et Internet Explorer 5.x et 6 (bulletin MS05-038 uniquement qui remplace les bulletins MS05-025 et MS05-037), et permettent de prendre le contrôle distant de la machine affectée. Les failles sont propres au navigateur de Windows, mais aussi au protocole Plug’n’Play et au service d’impression de l’OS. Cette dernière vulnérabilité étant cependant jugée modérée pour les versions Windows XP SP2 et Windows Server 2003.
Le bulletin MS05-040 décrit une vulnérabilité liée au service de téléphonie et qui permet également la prise de contrôle distante de la machine non protégée. Pourtant, Microsoft range la faille dans la catégorie « importante » seulement (et non « critique »). Probablement parce qu’elle se limite précisément à l’interface de programmation du service de téléphonie (Telephony Application Programming Interface) qui intéressera essentiellement les développeurs. Enfin, les deux vulnérabilités jugées « modérées » concernent le protocole de contrôle du bureau (MS05-041) et les services d’authentification Kerberos et PKINIT (MS05-042). Ces trois brèches sont susceptibles de permettre des attaques par déni de services (DoS qui peut entraîner le blocage de la machine), d’accéder à des données et le détournement d’adresse IP (spoofing) qui, dans ce dernier cas, mériterait peut-être un classement plus sévère.
Comme d’habitude, la mise à jour des systèmes est fortement recommandée. Le plus simple est de passer par le service de mise à jour de Windows Update ou Microsoft Update (qui réunit l’ensemble des mises à jours de Windows et Office, notamment) ou encore d’activer la mise à jour automatique dans Windows XP. Les utilisateurs avertis pourront éventuellement appliquer les correctifs manuellement en les téléchargeant à partir du site de Microsoft TechNet.