La « rustine du mardi » bouche CreateTextRange

le 14/04/2006, par Marc Olanié, Alerte, 354 mots

Le dernier lot de correctifs Microsoft apporte, comme promis, une rustine cumulative destinée à Internet Explorer ( MS06-013 ), laquelle corrige notamment la très médiatique faille CreateTextRange. Chaque éditeur du domaine de la sécurité tente d'utiliser les dernières parcelles de renommée de ce trou de sécurité pour se mettre en valeur. De manière très classique, tel ISS, qui rappelle, url à l'appui, que l'exploit en question est téléchargeable sur Milw0rm, ou eEye, par qui le scandale du vrai-faux correctif est arrivé, et qui glisse au passage que sa rustine non officielle ne provoque aucune incompatibilité constatée à ce jour. Ni Mike Nash, Ni Steven Toulouse ne manqueront de se plonger dans la lecture du bulletin annonçant que le bouche-trou « non officiel » d'eEye a passé le cap des 156 000 téléchargements. On a connu des virus dont la propagation était plus lente, n'est-il pas ? Précisons que CreateTextRange n'est qu'une des dix autres failles d'I.E. comblées par ce correctif. Certaines d'entre elles étant relativement aisément exploitables ou pouvant le devenir -dont un trou « double byte » dans urlmon.dll-, le déploiement du code de correction est vivement souhaitable. Revenons sur les autres failles critiques de ce mois. Microsoft signale une instabilité dans Mdac, sous l'immatriculation MS06-014. Ce n'est pas, et de loin, la première fois que cette partie de Windows est affectée. Courant septembre-octobre 2002, c'était même là l'une des grappe de trous les plus prisée par les amoureux du XSS, à tel point que le Sans avait classé ce problème dans le top ten des hiatus informatiques. La 06-15 est un correctif de correctif de correctif portant sur une instabilité du shell Windows provoqué par la gestion des objets COM. La rustine concerne les usagers de toutes les éditions de Windows généralement en service, de Windows 98 « première édition » à 2003 Server 64 bits, en passant par Windows Me, XP et variantes. Les deux derniers correctifs 06-016 et 06-17 sont respectivement qualifiés d'important et de modéré. Le premier corrige un problème d'Outlook Express pouvant conduire à une exploitation distante, le second élimine un risque de XSS exploitant une faille dans les extensions FrontPage Server... voilà qui réveillera encore certains souvenirs.

Toujours des failles béantes dans Java 7 u11

Selon les chercheurs de Security Explorations, la dernière mise à jour de Java, la 7 Update 11, est également vu

le 21/01/2013, par Jean Elyan avec IDG News Service, 440 mots

Une faille Java 0 day en vente 5 000 dollars

Quelques jours après avoir publié un correctif pour une faille zéro day dans les extensions Java découverte la sem

le 18/01/2013, par Jacques Cheminat avec IDG News Service, 241 mots

Attention à la fausse mise à jour Java corrompue

L'éditeur Trend Micro a repéré un morceau de logiciel malveillant qui se fait passer pour le dernier patch pour Java 

le 18/01/2013, par Serge Leblal avec IDG News Service, 430 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Céline Polo

DRH du groupe iliad

"Nous recrutons dans des métiers en tension, en particulier sur l'infrastructure réseau, pour lesquels il y a...