Windows XP patch pansement Hier, Microsoft a levé le voile sur le contenu de son Patch Tuesday de novembre avec la publication de seulement deux bulletins de sécurité. Un bulletin dit critique et un autre important afin de proposer les correctifs destinés à combler plusieurs vulnérabilités de sécurité.

Le bulletin MS08-069 permet de corriger des vulnérabilités critiques dans Microsoft XML Core Services. MSXML fournit l'interopérabilité entre plusieurs langages de script et XML. Il est utilisé par Internet Explorer et d'autres programmes pour le rendu des pages Web. Ainsi, Microsoft indique que la plus grave des vulnérabilités permet l'exécution de code à distance si un utilisateur affiche une page Web spécialement conçue à l'aide d'Internet explorer.

Plus exactement, la mise à jour de sécurité est de niveau critique pour MSXML 3.0 et de niveau important pour MSXML 4.0, 5.0 et 6.0 que l'on retrouve sur tous les Windows et sur Office 2007 (pour la version 5.0).

Le bulletin MS08-068 permet quant à lui de corriger une vulnérabilité importante révélée publiquement dans le protocole Server Message Block. SMB est utilisé par Windows pour le partage de fichiers et l'impression de documents à travers un réseau. Le risque lié à cette vulnérabilité est l'exploitation pour installer des programmes, afficher, modifier ou supprimer des données, créer des comptes dotés de tous les privilèges, indique Microsoft. La vulnérabilité affecte toutes les éditions prises en charge de Windows : 2000, XP, Server 2003 ainsi que Vista et Server 2008 pour un indice de gravité devenu modéré.


Une vulnérabilité connue depuis plus de 7 ans
Ce que Microsoft n'indique par contre pas mais qu'a souligné CIO.com, c'est que ladite vulnérabilité SMB n'est pas de première jeunesse et remonte à mars 2001 avec un mécanisme d'exploitation déjà intégré au framework Metalsploit, utilisé pour le développement et l'exécution de code exploits. Pour que l'attaque fonctionne, un utilisateur pris pour cible doit avoir reçu un e-mail malveillant dont l'ouverture déclenche une tentative de connexion à un serveur contrôlé par un cyber-criminel. Le risque encouru est alors le vol d'identifiants de connexion.

Reste que typiquement, ce type d'attaque peut être annihilé par un pare-feu et donc pour l'attaquant la nécessité d'être déjà dans la machine cible du réseau pour se servir de SMB en tant que relai. Cela explique sans doute le peu d'empressement de Microsoft pour la correction de la faille mais selon un expert en sécurité informatique de Shavlik Technologies, la faille SMB demeure un vecteur important d'attaque sur un réseau d'entreprise où les ports et les services pour le partage de fichiers et d'impression ne sont pas protégés.