Histoire d’un bug en mal de correction
eEye corrige le bug dans les curseurs animés de Windows et bloque la vulnérabilité ‘zero-day’ qui menace Outlook. Particularité de la correction, elle n’a rien d’officielle?
Première étape, l’éditeur McAfee a le premier signalé mercredi dernier la présence d’un bug dans les fichiers Animated Cursor, utilisés pour créer sous Windows des curseurs animés, qui aurait été utilisé dans des attaques Web.
Le premier, vraiment ? Un éditeur de sécurité, Determina, affirme avoir déjà signalé le problème à Microsoft en décembre dernier? En réalité, Microsoft aurait depuis longtemps corrigé une faille (MS05-002) proche de celle qui a été révélée par McAfee, mais le patch, toujours dixit Determina, aurait été incomplet.
Une information confirmée par un autre éditeur de sécurité, eEye, qui quant à lui précise que la première faille a été découverte par ses experts et corrigée en 2005, il y a deux ans donc. Mais qu’à cette occasion, le correctif MS05-002 suscité a bien oublié une partie de la faille.
Microsoft de son côté a reconnu la faille, et indiqué qu’elle ne concerne pas Outlook 2007. En revanche, les versions précédentes d’Outlook, et en particulier Outlook Express sont vulnérables. Il conseille d’ailleurs ne n’ouvrir les e-mails qu’en mode texte?
Il a également indiqué qu’il pourrait ‘éventuellement’ corriger le problème. Mais il n’a donné aucune indication quant à la publication d’un correctif à Animated Cursor? Le 10 avril, prochain ‘Patch Tuesday’ ?
En fait, lorsqu’une faille concerne des développements dont il n’a pas la responsabilité, l’éditeur renvoie logiquement vers les tiers auteurs de l’erreur pour réviser leurs produits.
Sauf que dans ce cas, et ce n’est pas la première fois, la correction est venue de l’extérieur, via un patch proposé par eEye Security. Et qui n’a rien d’officiel ! Et sauf qu’ici il y a urgence, car le code permettant d’exploiter la faille a été publié sur plusieurs sites ‘underground’, dont deux chinois…
Page: 1 2
Respectivement DG et CTO de Red Hat France, Rémy Mandon et David Szegedi évoquent le…
Canonical formalise un service de conception de conteneurs minimalistes et y associe des engagements de…
L'Autorité de la concurrence s'apprêterait à inculper NVIDIA pour des pratiques anticoncurrentielles sur le marché…
Le CERT-FR revient sur les failles dans équipements de sécurité présents notamment en bordure de…
Mistral AI formalise ses travaux communs avec l'entreprise finlandaise Silo AI, qui publie elle aussi…
La présidente de Numeum, Véronique Torner, revient sur la genèse de la tribune du collectif…