La vulnérabilité ( voir notre actualité ) est désormais confirmée par Microsoft qui malgré une divulgation publique, précise ne pas être pour le moment au courant d'attaques. La firme de Redmond en profite pour pointer du doigt cette pratique de full disclosure, regrettant de ne pas avoir été averti à titre privé de ladite vulnérabilité.
" Nous pensons que rapporter les vulnérabilités directement au vendeur est une pratique qui sert au mieux les intérêts de chacun ", indique Microsoft dans un avis de sécurité. Dans cet avis, il est précisé que la vulnérabilité affecte le service FTP dans Microsoft Internet Information Services 5.0, 5.1 et 6.0. Elle permet l'exécution de code à distance sur des systèmes vulnérables connectés à l'Internet où le service FTP est activé.
Dans le détail, les systèmes vulnérables sont Windows 2000 avec IIS 5.0, Windows XP avec IIS 5.1 et Windows Server 2003 avec IIS 6.0. A contrario, Windows Vista et Windows Server 2008 avec IIS 7.0 ne sont pas affectés, au même titre que Windows 7 et Windows Server 2008 R2 avec IIS 7.5.
En attendant la diffusion d'une mise à jour de sécurité, Microsoft recommande parmi ses mesures de contournement aux utilisateurs concernés, de ne pas autoriser l'accès FTP en écriture aux utilisateurs anonymes qui le cas échéant peuvent créer des répertoires particuliers, ou tout simplement de désactiver le service FTP.
Publié le
par Jérôme G.
Journaliste GNT spécialisé en nouvelles technologies
Sur le même sujet
Cette page peut contenir des liens affiliés. Si vous achetez un produit depuis ces liens, le site marchand nous reversera une commission sans que cela n'impacte en rien le montant de votre achat. En savoir plus.