Patch Day : 26 failles corrigées mais Internet Explorer est oublié

Pas de rustine pour la faille importante découverte il y a quelques jours dans Internet Explorer 6,7 et 8.

Comme prévu, le patch day de février est chargé chez Microsoft. L'éditeur vient de mettre en ligne 13 bulletins dont 5 critiques corrigeant 26 vulnérabilités. Onze concerneront le système d'exploitation Windows et 2, la suite bureautique Office.

Cinq de ces bulletins concernent Windows. Elles permettent l'exécution de code à distance par un pirate. On retiendra la correction d'une faille critique dans  DirectShow, impactant tous les Windows. Un fichier .avi spécialement conçu permet d'exploiter cette vulnérabilité.

Hors cycle ?

On retiendra également quatre failles liées à la gestion du protocole TCP-IP dans Windows. Elles permettent l'exécution de code à distance si des paquets spécialement conçus étaient envoyés à un ordinateur sur lequel IPv6 est activé.

Toujours dans Windows, une faille peut permettre l'exécution de code à distance si un utilisateur affiche une page Web spécialement conçue à travers un contrôle ActiveX à l'aide d'Internet Explorer.

Les deux bulletins pour Office corrigent des vulnérabilités classées importantes (Office XP Service Pack 3 et Office 2003 Service Pack 3) pouvant permettre l'exécution de code à distance.

Par contre, Microsoft n'a pas corrigé la vulnérabilité dans Internet Explorer rendue publique par ses soins le 3 février dernier.  Cette vulnérabilité touche les versions 6, 7, et 8 d'Internet Explorer, sous Windows XP. Windows Vista et Windows 7 sont immunisés grâce à leur mode protégé qui est activé par défaut.

Doit-on alors attendre un patch hors cycle ?

Source ZDNet