Microsoft publie un correctif pour la faille VLM sur I.E
Le géant de Redmond avait fait savoir qu'il ne publierait pas de correctif dans le mois - sous-entendu, attendons le prochain '
patch day'.
Or la pression est montée visiblement puisque -dernière heure- on apprend qu'un 'patch' spécial (out-of-cycle) est à disposition depuis ce 26 septembre au soir.
Il corrige la vulnérabilité VTL (Vector Markup Language) récemment révélée dans le navigateur Internet Explorer, ainsi que certaines versions de la messagerie Outlook. La faille a déjà été exploitée par des pirates depuis une semaine, 3.000 sites Web en auraient déjà été victimes.
Pour les utilisateurs qui auraient désactivé la fonction VTL, il est nécessaire de la réactiver avant d'appliquer le 'patch'.
Lire aussi : Six enseignements clés sur les mots de passe tirés de la mise à jour du cadre de cybersécurité du NIST
Si une procédure de mise à jour 'out-of-cycle' n'est pas une pratique courante chez Microsoft depuis que l'éditeur a choisi la régularité du 'patch day' mensuel (le deuxième mardi de chaque mois, ce qui permet de planifier le travail des services informatiques), elle n'est pas non plus exceptionnelle.
En revanche, l'éditeur semble avoir cédé à la pression des utilisateurs, qui ont du mal à accepter d'avoir à attendre lorsqu'une faille déclarée sérieuse est révélée et publiée. Cette dernière pratique, de publication des failles découvertes, est d'ailleurs l'objet d'une polémique, car il ne faut parfois que quelques heures à un pirate pour l'exploiter après sa révélation !
Ainsi, en janvier dernier, 600 sites Web ont été victimes d'une attaque sur la faille WMF dans les jours qui ont suivi la publication de la menace. Pour VTL, ce sont 3.000 sites qui ont été attaqués dans le même délai. Certes, la menace n'est pas la même, mais cette accélération démontre la réactivité des pirates.
Et donc l'attente de réactivité des utilisateurs vis à vis des éditeurs.
Sur le même thème
Voir tous les articles Cybersécurité