Microsoft : mise à jour critique pour tous les Windows
Attention, faille exploitable par d'éventuels vers
Microsoft vient de publier un bulletin de sécurité qui sort du cadre habituel des rapports mensuels. Cette mise à jour présente donc une certaine urgence à être installée, en particulier parce qu’elle concerne toutes les versions de Windows supportées et que l’éditeur la considère comme critique :
Notons que dans les cas de Vista et Windows Server 2008, les différences avec les Windows précédents rabaissent le niveau de dangerosité de la faille à « important ». Le bulletin, numéroté MS08-067 est décrit par Microsoft comme suit :
« Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement dans le service Serveur. La vulnérabilité pourrait permettre l'exécution de code à distance si un système affecté recevait une requête RPC spécialement conçue. Sur les systèmes Windows 2000, Windows XP et Windows Server 2003, un attaquant pourrait exploiter cette vulnérabilité pour exécuter du code arbitraire sans nécessiter d'authentification. Il serait possible d'utiliser cette vulnérabilité dans la création d'un ver. »
C’est la possibilité de créer un ver exploitant cette faille qui rend cette dernière critique. Les systèmes de mises à jour automatiques proposent déjà le téléchargement, mais ceux qui veulent récupérer le patch en version séparée peuvent se rendre sur cette page.
- Windows 2000
- Windows XP (x86 et x64)
- Windows Server 2003 (x86, x64 et Itanium)
- Vista (x86 et x64)
- Windows Server 2008 (x86, x64 et Itanium)
Notons que dans les cas de Vista et Windows Server 2008, les différences avec les Windows précédents rabaissent le niveau de dangerosité de la faille à « important ». Le bulletin, numéroté MS08-067 est décrit par Microsoft comme suit :
« Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement dans le service Serveur. La vulnérabilité pourrait permettre l'exécution de code à distance si un système affecté recevait une requête RPC spécialement conçue. Sur les systèmes Windows 2000, Windows XP et Windows Server 2003, un attaquant pourrait exploiter cette vulnérabilité pour exécuter du code arbitraire sans nécessiter d'authentification. Il serait possible d'utiliser cette vulnérabilité dans la création d'un ver. »
C’est la possibilité de créer un ver exploitant cette faille qui rend cette dernière critique. Les systèmes de mises à jour automatiques proposent déjà le téléchargement, mais ceux qui veulent récupérer le patch en version séparée peuvent se rendre sur cette page.
Source :
Microsoft
Vincent Hermann
le 24 octobre 2008 à 08:34
(32 565
lectures)
Actualités et brèves relatives
- 15 / 10 / 2008 : Microsoft : bulletins de sécurité d'octobre 2008 en détails
- 10 / 09 / 2008 : Microsoft : les bulletins de sécurité de septembre 2008 en détail
- 13 / 08 / 2008 : Microsoft : bulletins de sécurité d'août 2008
- 11 / 07 / 2008 : Un patch de Microsoft bloque le firewall de ZoneAlarm (MàJ)
- 09 / 07 / 2008 : Microsoft : bulletins de sécurité de juillet 2008
- 11 / 06 / 2008 : Microsoft : bulletins de sécurité du mois de juin 2008
- 14 / 05 / 2008 : Microsoft : bulletins de sécurité du mois de mai 2008
- 09 / 04 / 2008 : Microsoft : huit bulletins de sécurité pour le mois d'avril
