Il y a peu de temps, Microsoft publiait un lot de 9 correctifs afin de combler pas moins de 14 failles de sécurité présentes dans ses logiciels, dont 6 considérées comme critiques par l’éditeur de Redmond lui-même.

Parmi les 6 failles critiques, celle évoquée dans le bulletin MS07-042 était définie ainsi : « Cette vulnérabilité pourrait permettre l’exécution de code à distance si un utilisateur affichait une page Web spécialement conçue à l’aide d’Internet Explorer. La vulnérabilité pourrait être exploitée par le biais d’attaques sur Microsoft XML Core Services. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d’impact que ceux qui possèdent des privilèges d’administrateur ». Aujourd’hui, nous apprenons que cette dernière a été exploitée.

La correction est plus que jamais nécessaire

En effet, ce mardi, All Berzroutchko, ingénieur de la sécurité informatique belge Scanit NV/Sa, a en effet publié un exploit qui permet de tirer parti de ce trou de sécurité qui impacte les systèmes d’exploitation Windows 2000, Windows XP et Windows Vista, mais également les suites bureautiques Office 2003 et 2007.

Ce dernier a ainsi mis au point un code JavaScript qui permettrait de faire planter le navigateur Web Internet Explorer 6.0 fonctionnant sous Windows 2000 et XP SP2. L’exploit a certes été publié après la livraison des correctifs par Microsoft, mais cela prouve bien en tout cas que la faille est réelle et que la mise en place des correctifs de sécurité est plus que recommandé !

Pour ceux qui n’auraient pas encore effectué ces mises à jour, les liens pour les télécharger sont listés sur cette page.