Vulnérabilité
critique non corrigée dans Windows (10/12/08)
RESUME :
Un nouveau défaut de sécurité a été
identifié dans d'anciennes versions de Windows. L'exploitation
d'une erreur dans le convertisseur de texte de WordPad (traitement
de texte fourni avec le système) peut permettre à
un individu malveillant ou à un virus d'exécuter du code
malicieux sur l'ordinateur de sa victime via un document piégé.
LOGICIEL(S)
CONCERNE(S) :
Microsoft Windows XP Service Pack 2
Microsoft Windows 2000 Service Pack 4
Microsoft Windows Server 2003 Service Pack 2
Microsoft Windows Server 2003 Service Pack 1
LOGICIEL(S)
NON CONCERNE(S) :
Microsoft Windows Vista Service Pack 1
Microsoft Windows Vista
Microsoft Windows XP Service Pack 3
Microsoft Windows Server 2008
RISQUE :
Critique
CORRECTIF
:
Aucun
correctif n'est disponible pour le moment, cette faille ayant été
identifiée alors qu'elle était déjà
exploitée de façon malveillante (0-day). En attendant
la publication d'un correctif officiel, les utilisateurs concernés
peuvent appliquer les mesures suivantes afin de réduire les
risques d'exploitation malveillante :
- se montrer
particulièrement vigilant dans son utilisation d'Internet,
notamment vis-à-vis des fichiers douteux, des liens hypertextes
non sollicités ou des sites web non reconnus comme sûrs
;
- appliquer
la mise à jour Service Pack 3 dans le cas des utilisateurs
de Windows XP SP2 ou inférieure ;
- appliquer
les mesures de contournement
provisoire indiquées par l'éditeur ;
- tenir à
jour son antivirus. Les
éditeurs ont déjà ou vont bientôt publier
de nouvelles signatures pour tenter de reconnaître et d'intercepter
les fichiers malicieux exploitant cette faille (Exploit-WordPad.a
chez McAfee).
Les utilisateurs
concernés peuvent également s'abonner gratuitement
à la
lettre Secuser Securite pour être informés par
courrier électronique de la disponibilité du correctif
officiel dès sa publication.
INFORMATIONS
COMPLEMENTAIRES :
-> Microsoft
Security Advisory n°960906 (en anglais)
-> FAQ
: comment savoir si ce logiciel est installé sur mon ordinateur?
-> FAQ
: comment déterminer le numéro de version de votre
logiciel?
-> Abonnement
gratuit à la lettre Secuser Securite pour être informé
par courriel des nouvelles failles
|