Microsoft vient de mettre à jour son bulletin d'alerte de sécurité relatif à la faille du Windows Meta File. Rappelons que la faille en question avait été découverte alors qu'elle était déjà exploitée par un site malicieux (« 0-day ») rendant du même coup la situation de Microsoft (et des usagers) bien inconfortable. L’éditeur s’est mis à l’œuvre, indique-t-il, dès l’annonce de la faille et déclare aujourd’hui avoir terminé le développement d'une rustine.

Alors que les messages d’alerte venant de firmes de sécurité pleuvent et que les variantes d’exploitation de la faille se multiplient, cette mise à disposition n’interviendra cependant pas avant la semaine prochaine. C’est que le patch doit encore être traduit en 23 langues et surtout être testé complètement afin d’assurer une pleine et entière compatibilité. L’objectif est de fournir le correctif dans le lot de mises à jour mensuelles, le 10 janvier prochain. Il faut dire que toutes les versions de Windows sont concernées par la faille en question, du moins de Windows 98 à Windows Server 2003 en passant par Me, 2000, XP et leurs variantes.

La vulnérabilité se niche dans une erreur présente dans la gestion des images Windows Metafile (WMF). Spécialement conçues, elles permettent à des personnes distantes d'exécuter des commandes arbitraires, ou à un malware de s’exécuter automatiquement sur le système faillible, notamment via Internet Explorer ou une carte de vœux virtuelle. Certains éditeurs n’avaient pas attendu Microsoft et avaient déjà élaboré une signature pour détecter les fichiers piégés. En outre des rustines ou astuces non officielles  ont été également mises à disposition faute de mieux pour contrer la brèche (voir les Suggested Actions du bulletin Microsoft et le panorama de Secuser).