Deux épineux ZDE Microsoft
Microsoft émet un bulletin d'alerte, signalant l'existence d'une faille pouvant conduire à une élévation de privilège offrant à un usager authentifié des droits « local system ». Ce défaut, pour lequel on ne connaitrait aucun exploit à l'heure actuelle, aurait fait l'objet d'une communication publique. Une certaine prudence est donc de mise. Dans l'urgence, l'éditeur conseille quelques mesures de sécurité consistant à utiliser, sous IIS, un compte utilisateur spécifique et à droits restreints. Au même instant, mais loin, très loin, sur les rives de l'Empire du Milieu, fleurissent, nous apprennent les sages de l'Avert Lab, une certaine variété d'exploits tutoyant un composant ActiveX. Le vecteur d'attaque aurait été, précise l'auteur de l'alerte, Kevin Beets, retrouvé sur de nombreux blogs Chinois. Là encore, une contre-mesure provisoire est conseillée par Microsoft, consistant à modifier un kill bit dans la BDR. Quelque chose nous dit que le prochain Patch Tuesday sera dodu à souhait. On pourra également y ajouter le probable bug qui, durant une bonne partie de la journée de vendredi, a planté la quasi-totalité des blogs du Technet Microsoft -et principalement celui du MSRC- offrant à ses lecteur un message d'une profondeur philosophique quasi abyssale : « Critical Error: Data Store Unavailable. The data store used by Community Server cannot be opened. Please ensure that your database is online and running and that the connection string in your web.config file is correct »
