Microsoft vient de mettre en ligne un nouveau correctif. Référencée sous le n° q3161059, cette nouvelle rustine corrige pas moins de six failles de sécurité décelées dans les dernières versions d’Internet Explorer (IE 5.01, 5.5 et 6.0). La plus importante des failles permet à un utilisateur malintentionné de lancer le programme de son choix sur la machine victime. La mise à jour est donc fortement recommandée.
Si IE est protégé jusqu’à la prochaine découverte, il n’en est encore rien pour Exchange et Windows 2000. Deux failles majeures viennent d’être découvertes et relatées par notre confrère SecurityFocus (BugTraq). La première touche le serveur Telnet livré avec Windows 2000 ou Microsoft Interix 2.2. En exploitant le classique débordement de mémoire tampon (buffer overflow), un pirate peut se brancher sur ces serveurs Telnet, en prendre le contrôle et, éventuellement, exécuter à distance des applications sur la machine distante.
L’autre victime est le logiciel de communication Exchange 2000. En résumé, si un intrus parvient à pénétrer le serveur de messagerie (en profitant d’une permission non attribuée, notamment), il pourra accéder à la base de registres du système et éventuellement la modifier. Les informations que renferme cette base (comme les versions des logiciels installés) justifient à elles seules la dangerosité de cette faille.
Messenger de nouveau touché
Et ça ne s’arrange pas du côté de la faille découverte la semaine dernière dans MSN/Windows Messenger et qui permet d’accéder notamment aux adresses e-mail d’un utilisateur (voir édition du 5 février 2001). Les spécialistes en sécurité Tom Gilder et Thor Larholm ont mis en évidence une autre utilisation de cette faille. Ils ont utilisé une faille connue dans Internet Explorer (méthode « Document.open() » découverte en décembre dernier) pour démontrer que l’on pouvait envoyer des messages aux contacts de l’utilisateur victime sans que celui-ci ne se rende compte de rien. Pas rassurant mais, heureusement, cette faille d’IE est corrigée dans le patch évoqué plus haut.
Microsoft lance Phi-3-mini, un petit modèle de langage (SLM) qui s'adresse aux entreprises ne disposant…
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…