Un mégapatch Microsoft prévu pour aujourd’hui, mardi 14 avril
La fournée de correctifs diffusés chaque mois par Microsoft corrigera huit vulnérabilités dont cinq sont jugées « critiques ». Windows, Excel et Internet Explorer sont en premières lignes.
La semaine qui vient s'annonce chargée pour les responsables de la sécurité informatique des entreprises. Microsoft a annoncé le 9 avril, dans un bulletin de sécurité, que le prochain Patch Tuesday contiendrait des mises jour destinées à colmater huit failles de sécurité dans Windows, Internet Explorer, Excel, Word et ISA Serveur (qui combine les fonctions de pare-feu et de cache-Web).
Parmi ces huit mises à jour, l'éditeur en a répertorié cinq dans la catégorie « critique », soit le niveau de dangerosité le plus élevé du système de l'éditeur qui en compte quatre. Selon la définition de Microsoft, les failles critiques sont des vulnérabilités dont l'exploitation peut permettre de propager un ver Internet (à distance, donc) sans aucune action de l'utilisateur. Deux failles sont également jugées « importantes ».
Leur exploitation peut permettre le vol ou la destruction de données ou encore rendre des données ou des applications indisponibles.
Toutes les versions récentes de Windows sont concernées : Les mises à jour critiques concernent Windows, Internet Explorer et Excel. La mise à jour destinée à Internet Explorer concerne les versions 5, 6 et 7 du navigateur mais pas la version 8, lancée le mois dernier.
La faille décelée dans Excel est présente sur toutes les versions du tableur (Excel 2000, 2002, 2003 et 2007 sur PC ; Excel Office 2004 et Office 2008 sur Mac), mais seule la version 2000 sur PC présente un risque critique (le risque est important pour les autres versions).
Parmi les trois failles qui concernent Windows, la plus sensible touche toutes les versions clientes et serveurs récentes du système d'exploitation (Windows 2000, XP et Vista ; Windows Server 2003 et 2008). Cette faille présente les risques d'exploitation les plus importants car c'est celle qui peut toucher le plus grand nombre de machines simultanément.
Comme toujours, les correctifs du Patch Tuesday devraient être disponibles sur les mises à jour automatiques ou en allant sur le centre de téléchargement de Microsoft dans la nuit de mardi à mercredi en France. « Microsoft recommande à tous ses clients en entreprise de préparer leurs systèmes et leurs réseaux afin d'appliquer cette mise à jour dès que possible », explique Bernard Ourghanlian, directeur technique et sécurité de Microsoft France.
Microsoft préconise l'installation systématique des patchs : Pour l'instant, l'éditeur ne souhaite pas détailler pas la nature exacte des vulnérabilités bientôt corrigées, mais il devrait organiser une conférence sur le sujet mercredi 15 avril. Mardi 7 avril, il a publié un rapport de sécurité qui analyse les attaques observées au second semestre de 2008 et fournit une liste de recommandations.
Microsoft y préconise l'installation systématique des patchs qu'ils diffusent, par l'activation de Microsoft Update qui prend en charge tous les logiciels de l'éditeur (Windows, suite Office, etc.), alors que Windows Update se limite au système d'exploitation et à ses composants. L'éditeur justifie notamment ce choix en mettant en avant le cas de Conficker, le virus le plus dangereux à l'heure actuelle. Conficker s'est en effet largement répandu à la fin de l'année 2008 alors qu'il utilise une faille de sécurité pour laquelle Microsoft a publié un correctif dès le mois d'octobre dernier.
Les DSI ont peur des effets secondaires : Reste qu'en entreprise bon nombre de responsables informatiques ne sont pas prêts à installer systématiquement les correctifs dans leurs environnements de production par peur des « effets secondaires » sur leurs applications.
Il y a trois ans, les trois quarts des DSI des grands comptes disaient ainsi ne jamais installer systématiquement les patchs.
Quelle que soit leur politique de sécurité aujourd'hui, il leur faudra être très réactif la semaine prochaine, car les mises à jour diffusées par Microsoft concernent simultanément les systèmes d'exploitation (postes de travail et serveurs), le navigateur et les outils bureautiques.
En outre, Oracle doit lui aussi fournir un nombre important de correctifs à l'occasion de sa livraison trimestrielle, mardi prochain. Vu la liste des logiciels concernés (bases de données 11g, gammes PeopleSoft, serveurs WebLogic, etc.), espérons qu'elles ne seront pas trop critiques ! (Source 01 net).