[Brève] Microsoft corrige deux failles sévères, sans en informer les entreprises

L’un des « avantages » des logiciels propriétaires, est que des patchs de sécurité sont plus ou moins régulièrement distribués aux clients.

Si envisager qu’un produit logiciel soit livré sans la moindre faille de sécurité parait aujourd’hui « utopiste », le minimum attendu semble quand même d’être informé par les éditeurs des failles corrigées par les patchs. C’est pourtant ce qu’a visiblement oublié de faire Microsoft lors de la release de son dernier patch.

Voici l’info telle qu’elle est relatée sur le site www.zdnet.fr :

A l’occasion de son Patch Tuesday d’avril, Microsoft a corrigé deux failles majeures de ses logiciels, sans toutefois que des informations ne soient communiquées explicitement dans ses bulletins de sécurité, comme c’est en principe le cas.

Les deux bugs corrigés dans le patch MS10-024 permettaient à un attaquant d’intercepter des messages électroniques envoyés depuis Exchange ou le service Windows SMTP. C’est un chercheur de Core Security, Nicolás Economou, qui a fait cette découverte.

Or dans la présentation du bulletin MS10-024, Microsoft ne faisait référence qu’à une vulnérabilité de type déni de service.

Pour les deux failles corrigées sans information, l’éditeur ne précise donc pas la criticité de celles-ci et ne permet donc pas aux entreprises de juger de la nécessité d’installer (vite ou non) les correctifs.

Selon Core Security, Microsoft a minimisé les risques attachés à ces vulnérabilités. Le cabinet de sécurité précise que les versions 2000, XP, 2003 et 2008 de Windows (desktop et serveur) sont affectées, ainsi que Exchange 2007 et 2010.

source : http://www.zdnet.fr/actualites/informatique/0,39040745,39751437,00.htm#xtor=RSS-8


One Comment

  1. Philippe Kalousdian
    Philippe Kalousdian 07|05|2010 at 11:12 - Reply

    Bonjour

    il se trouve qu’on (je ne sais plus qui) m’a expliqué que beaucoup d’attaques avaient lieu lors de la diffusion des patches : les pirates en herbe découvrent à cette occasion les failles, et lancent des attaques sur les nombreuses machines qui tardent à appliquer ces patches !

    Redoutable

    Je peux donc comprendre, que pour des failles majeures, connaissant cela, Microsoft ne communique pas trop afin d’éviter des exploitations massives de failles très problématiques.

    Est-ce ce phénomène qui a joué ici ? Je n’en ai aucune idée, mais cela serait cohérent.

    Si quelqu’un a l’explication…

Leave A Comment