Windows, IIS, Internet Explorer, Office : les vulnérabilités du mois

Ce sont quatre alertes importantes qu'émet MicrosoftMicrosoft ce mois-ci. La première concerne les postes de travail sous Windows 2000 et XP : leur service "workstation", activé par défaut, est vulnérable à un dépassement de mémoire tampon. En clair, si le PC est directement accessible depuis Internet (sans pare-feupare-feu correctement configuré), un intrus pourra exploiter cette faille pour en prendre le contrôle sans aucune intervention de l'utilisateur.

Cette vulnérabilité est similaire à celle découverte récemment dans le service MessengerMessenger de Windows, lui aussi activé par défaut. Et c'est aussi une faille identique, mais qui touchait cette fois le service RPC de Windows, qui a permit la propagation du ver Blaster.

La solution ici, outre l'applicationapplication du correctif, est de désactiver le service concerné (voir nos références en fin de brève) et d'utiliser un pare-feu personnel afin d'éviter d'être concerné par les autres failles similaires qui ne manqueront pas d'être découvertes.

Internet Explorer et IIS : le web aussi...

Les deux alertes suivantes concernent les deux extrémités de la navigation sur le web : le serveur IIS de Microsoft est vulnérable à une prise de contrôle via ses extensions Front Page (une technologie propriétaire, loin de tous standards, dont on peut heureusement fort bien se passer).
De son côté, Internet Explorer se voit gratifié d'un nouveau correctif global, qui corrige au passage cinq nouvelles vulnérabilités. Nous laissons aux utilisateurs d'Internet Explorer le soin d'en prendre connaissance par eux même : nous avons jeté l'éponge quand à couvrir dans le détail toutes les failles de ce navigateur.

Le retour d'Office

La dernière alerte concerne enfin Word et Excel (97, 2000 et 2002, ainsi que la suite Works 2002, 2003 et 2004). Manifestement, la protection censée avertir l'utilisateur de la présence de macro-commandes ne fonctionne pas comme elle le devrait. Il est possible à un attaquant de créer une macro malicieuse qui s'exécutera même si l'option de protection contre les macros est activée.

Cette impressionnante série de vulnérabilités amène deux conclusions : les produits de Microsoft sont effectivement pleins de failles, et cela depuis très longtemps (cela fait quatre ans que les utilisateurs d'Excel 97 font confiance à leur protection contre les macros...). Et surtout, de nombreuses vulnérabilités restent probablement à découvrir.

Mais la bonne nouvelle est que, puisque ces vulnérabilités sont aujourd'hui découvertes à la chaîne, l'effort de Microsoft dans ce domaine semble commencer à payer. Certes, toutes ces failles sont loin d'avoir été découvertes par Microsoft lui-même (on y retrouve des entreprises, dont l'habituelle eEye DigitalDigital Security, et des individus particuliers). Mais une partie est le fruit des efforts de Microsoft pour traquer les failles dans ses produits existants, ce qui est, après tout, plutôt encourageant.

Plus d'informations :

• L'alerte pour Windows 2000 et XP.
• Celle pour IIS.
• Le correctif global pour Internet Explorer.
• Les failles macro sur Word et Excel.
• Un document très complet sur la procédure pour supprimer les services réseau inutiles sous Windows 2000 et XP.
• La même chose, mais plus synthétique (pour Windows XP seulement).