Microsoft corrige 19 failles de sécurité dont 5 critiques
Notamment dans les ATL (Active Template Library)

Le , par Gordon Fowler, Expert éminent sénior
Microsoft corrige 19 failles de sécurité dont 5 critiques

La dernière mise à jour de sécurité de Microsoft n'était visiblement pas du luxe.

"C'est un gros paquet désordonné", affirme Eric Schultze de Shavlik Technologie, "tout, à part Internet Explorer, est impacté par cette mise à jour".

Josh Abraham, chercheur au cabinet spécialisé en sécurité informatique Rapid7, est du même avis : "il y a des tonnes de trucs et pour tout le monde".

De fait, dix-neuf failles sont ainsi corrigées par ce patch, dont cinq sont dites "critiques" - degré de danger le plus haut - par les équipes de Microsoft elles-mêmes.
Ces cinq failles concernent des vulnérabilités dans les Active Template Library (ATL).

Les ATL sont présents dans plusieurs produits de Microsoft mais également dans ceux d'autres compagnies (Adobe pour n'en citer qu'une).

"Vue l'étendue des technologies touchées, on peut imaginer les efforts qu'il va falloir fournir pour diagnostiquer, recompiler, tester, redistribuer les applications touchées", constate Sheldon Malm, directeur des stratégies de sécurité chez Rapid7. "Microsoft a clairement senti qu'il y avait un gros problème pour ses clients en essayant de mettre de l'ordre là-dedans."

La grosse part de l'update (MS09-037) s'occupe donc des ATL.
Pour autant elle ne serait pas complète.

Andrew Storms, directeur des opérations de Circle Network Security s'étonne : "On attendait un correctif pour un tas d'ATL, au lieu de quoi on n'en a que cinq. Mais j'ai bon espoir de voir Microsoft corriger de plus en plus d'ATL dans les deux prochains mois."

Les failles dans les ATL avaient déjà été colmatées par un précédent patch.
Celui-ci n'était visiblement pas assez efficace.
Microsoft admet en effet que cette ancienne correction n'a pas permis d'enrayer les attaques.

Un autre rectificatif majeur de l'Update du mois d'Aout touche au Windows Internet Name Service (WINS).

"Le coté négatif : il reste deux exploits", constate Sheldon Malm de Rapid 7, "Le coté positif : WINS n'est pas installé par défaut et ne devrait a priori pas l'être".

La mise à jour parue hier concerne également plusieurs éléments cruciaux de Windows, Windows Media Player, Outlook Express, IIS (Internet Information Server) et Microsoft Office.
La faute, pour ces applications, aux Office Web Components (OWC) inclus dans ActiveX.

Enfin, la dernière faille corrigée, et non des moindres pour le grand public, touche le format vidéo AVI.

"C'est l'exemple classique d'un bug de format vidéo qui fait que dès que vous visionnez un film corrompu, vous êtes cuit" analyse Andrew Storms.
Pour lui, cette faille est une porte d'entrée idéale pour les vers en tout genre.
Espérons donc que cette mise à jour sera appliquée par le plus grand nombre.

Le correctif d'août est téléchargeable via Microsoft Update, Windows Update et Windows Server Update Services.

Et vous ? :

Considérez-vous que ces mises à jours sont une usine à gaz ?
A en croire les experts en sécurité l'update ne corrige pas toutes les failles : d'après vous Windows est-il un OS vraiment sûr ?

Source :

La page officielle de Microsoft sur l'update du mois d'Aout.

A lire aussi :
Toute l'actualité et les forums Windows sur Developpez.com


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de LordMacharius LordMacharius - Membre habitué https://www.developpez.com
le 12/08/2009 à 13:42
Un Os ne peut être a 100% fiable pour le simple fait que c'est l'homme qui l'a concu et qu'il est faillible !

Après je pense qu'avec le temps ces erreurs vont être corrigé .
Avatar de atm0sfe4r atm0sfe4r - Membre averti https://www.developpez.com
le 12/08/2009 à 14:01
Ca sert a quoi un thread ou on nous dit qu'il va y avoir une MAJ Windows ?
Franchement... mon ordi me l'a appris avant dvp.
Avatar de Gordon Fowler Gordon Fowler - Expert éminent sénior https://www.developpez.com
le 12/08/2009 à 14:08
Citation Envoyé par atm0sfe4r  Voir le message
Ca sert a quoi un thread ou on nous dit qu'il va y avoir une MAJ Windows ?
Franchement... mon ordi me l'a appris avant dvp.

Bonjour,

L'article vise à expliquer le contenu des mises à jour, ce qui n'y est pas et qui devrait, d'après certains professionnels, y figurer.

Le fait de mettre à jour son OS ne pose pas de débat.

Le fait qu'il puisse rester des failles, qu'elles soient majeures ou mineures, et comprendre la manière dont l'OS évolue au fur et à mesure des updates me semble en revanche intéressant.

Cordialement,

Gordon.
Avatar de atm0sfe4r atm0sfe4r - Membre averti https://www.developpez.com
le 12/08/2009 à 15:08
Désolé d'avoir répondu si sèchement, j'avoue qu'il peut y avoir un intérêt.
Avatar de Gordon Fowler Gordon Fowler - Expert éminent sénior https://www.developpez.com
le 12/08/2009 à 15:26
Citation Envoyé par atm0sfe4r  Voir le message
Désolé d'avoir répondu si sèchement, j'avoue qu'il peut y avoir un intérêt.

No problem
Avatar de Vilmir Vilmir - Membre du Club https://www.developpez.com
le 12/08/2009 à 17:34
Une petite pensée pour les équipes qui s'occupent des patchs autour de l'ATL, ils doivent être sous une pression de barbare.
Offres d'emploi IT
Développeur Web FULL-STACK
VACALIANS GROUP - Languedoc Roussillon - SETE (34)
Développeur WEB PHP F/H
VACALIANS GROUP - Languedoc Roussillon - SETE (34)
RESPONSABLE WEB ANALYTICS F/H
VACALIANS GROUP - Languedoc Roussillon - SETE (34)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil