Sujet :

Patch de sécurité...qui rend Explorer vulnérable !

Audrey
   Posté le 23-08-2006 à 23:17:01   

(01net - 23/08/06)
Une rustine de sécurité de Microsoft rend Explorer vulnérable

C'est ce que l"on pourrait communément appeler une tuile ! Parmi les 12 mises à jour de sécurité publiée début août par Microsoft, la "MS06-42", destinée à corriger plusieurs vulnérabilités du navigateur Internet Explorer, s"est distinguée de la plus paradoxale des façons.

En effet, quelques jours après sa parution, des chercheurs de la société américaine eEye Digital ont constaté que ce "patch cumulatif" créait, sur le poste où il s'installait, une faille de sécurité pour les utilisateurs d"Internet Explorer 6.0 Service Pack 1, sur les systèmes d"exploitation Windows XP SP1 et Windows 2000 SP4.

Nouvel élément fâcheux pour Microsoft, qui a admis le problème : la sortie du "patch du patch", pourtant attendue hier, mardi 22 août, a été reportée sine die. "Nous avons rencontré des soucis avec ce correctif et nous avons voulu éviter d"ajouter un problème à un autre problème", détaille Bernard Ourghanlian, directeur technique et sécurité de Microsoft France.

Dans les faits, la rustine MS06-42 fait "planter" brutalement le navigateur sur certains sites, et permet, en théorie, grâce à la technique dite du "débordement de mémoire" (buffer overrun), à une personne distante d'exécuter du code malveillant sur l'ordinateur. Ce en amenant son propriétaire sur un site Web doté d'une adresse très longue, utilisant "la compression et le protocole HTTP 1.1".

En attendant la sortie du correctif pour la MS06-42, Microsoft demande aux utilisateurs d'Internet Explorer d'installer quand même cette mise à jour, mais de désactiver la fonction HTTP 1.1 dans le navigateur. "Certaines applications qui recourent à ce protocole ne fonctionneront pas", prévient Bernard Ourghanlian.

Reste une question : comment est-il possible qu"une mise à jour de sécurité, qu'on imagine objet de toutes les vérifications, puisse aboutir à cette situation ubuesque ?

"Il n'est pas possible d"écrire un logiciel parfait, défend Bernard Ourghanlian. Il faudrait étudier tous les scénarios d'attaques possibles et imaginables pour cela. Internet Explorer est écrit en 24 langues, fonctionne sur de nombreuses plates-formes. Et parfois, alors qu'on aimerait procéder à une batterie de tests (comme ceux dits de non régression, qui durent en principe 5 à 6 semaines) la publication d'une faille par des experts nous oblige à accélerer la publication d'un correctif. Notre position n'est pas toujours évidente, entre la sécurité des utilisateurs et la volonté de publier un patch qui ait passé un maximum de vérifications."
Pour l"éditeur, qui fait de la sécurité une priorité, l'épisode n'est vraiment pas le bienvenu.