Sécurité - La faille avait été divulguée le 15 décembre. Elle est désormais confirmée par Microsoft, quelques heures après la publication d’un code d’attaque pour Metasploit. Windows 7 et Server 2008 R2 ne sont pas affectés.
L'éditeur a confirmé le 4 janvier, via une alerte de sécurité, la présence d'une faille zero-day (Ndlr : non patchée) dans différentes versions de son système d'exploitation Windows. Celle-ci affecte les versions poste de travail Windows XP et Vista ainsi que les éditions serveur 2003 et 2008. Windows 7 et Server 2008 R2 ne sont en revanche pas concernés.
La vulnérabilité se situe au niveau du moteur de rendu graphique de Windows (GRE) précise Microsoft. Elle permet d'exploiter le système de prévisualisation de Windows pour exécuter du code sur une machine vulnérable et ainsi installer des programmes, modifier des données ou encore créer des comptes utilisateurs dotés de droits administrateurs.
266 vulnérabilités corrigées par Microsoft en 2010
Cette vulnérabilité n'est pas nouvelle puisqu'elle avait été dévoilée le 15 décembre 2010 à l'occasion d'une conférence sur la sécurité qui se tenait en Corée du Sud. C'est la publication d'un exploit pour le logiciel Metasploit qui a vraisemblablement contraint Microsoft à publier un bulletin d'alerte et ainsi à confirmer l'existence de la faille dans l'OS.
En effet, ce bulletin a été mis en ligne seulement quelques heures après la publication par Joshua Drake du code pour Metasploit, un outil populaire de test de pénétration. Selon Microsoft, cette nouvelle vulnérabilité ne fait toutefois pas l'objet d'attaque.
L'éditeur annonce qu'un correctif de sécurité est en cours de développement. Mais la firme ne prévoit pas pour le moment de diffuser un correctif hors de son cycle mensuel de patch. Pour réduire les risques d'exploitation, Microsoft préconise aux administrateurs de modifier l'ACL (Access Control List) du fichier shimgvw.dll.
Plusieurs correctifs de sécurité pour Internet Explorer sont déjà attendus chez Microsoft. Son logiciel Office fait par ailleurs l'objet d'attaques a reconnu cette semaine l'éditeur, tout en rappelant que la vulnérabilité exploitée est corrigée depuis plusieurs semaines.
Pour l'ensemble de l'année 2010, Microsoft a publié 106 bulletins de sécurité, corrigeant pas moins de 266 vulnérabilités de ses différents logiciels du marché.
1 commentaire:
probablement utilié a outrance pour certain jeux en ligne web 2,0 ,ou les usagers perdent l;eurs droits ou l'usage de leurs compte ,comme sur Tagged ,et les jeux Zinga sur facebook(Farmville) ,trop d'harnaques de comptes ,c'était pas normale ;-))
Publier un commentaire