Correctif Windows Du 10/09/03

Une faille dans un outil de développement de Microsoft a fragilisé de nombreux produits de l'éditeur. Les risques sont les plus évidents avec la suite Office, où un document piégé pourrait permettre la prise de contrôle des PC. Mais ce sont au total 29 applications qui sont vulnérables.

Lorsqu'une faille de sécurité se trouve au coeur d'un outil de développement, le risque est qu'elle se retrouve dans tous les produits ainsi créés. Et c'est justement ce qui vient de se produire avec le kit de développement Microsoft Visual Basic for Applications SDK (versions 5 et 6).

Ce kit souffre d'un dépassement de mémoire tampon, qu'il peut transmettre aux applications à qui il donne naissance. Et comme Microsoft l'a utilisé et intégré dans de nombreux produits maison, la vulnérabilité se retrouve désormais largement représentée au catalogue de l'éditeur : de la suite Office complète (Word, Excel, Powerpoint, Access) dans ses éditions 97, 2000 et 2002, jusqu'à la suite Works (2001, 2002, 2003) en passant par Project, Visio (2000 et 2002) et même Publisher (2002), c'est un véritable -et triste- inventaire à la Prévert. Même certains produits de la gamme professionnelle Microsoft Business Solutions sont vulnérables.

Concrètement, la faille peut-être exploitée lorsqu'un document spécialement modifié est ouvert. Les macros-commande qu'il contient peuvent alors provoquer le dépassement de mémoire tampon et exécuter dans la foulée n'importe quel code (par exemple, un virus embarqué dans le document sous sa forme hexadécimale et assemblé en temps réel par la commande DEBUG de Windows).

Mais les produits de Microsoft ne sont pas forcément les seuls concernés par cette faille. Le kit de développement Visual Basic for Applications peut très bien être utilisé par des éditeurs tiers dans la création de logiciels bureautiques (gestion, paie, stock... souvent basés sur Excel ou Access) ou même servir à l'élaboration d'outils propriétaires au sein de l'entreprise. Toutes ces applications seront alors également à risque... mais il n'est pas certain que leurs éditeurs fournissent un correctif spécifique.

Microsoft, de son côté, à publié une série de correctifs destinés à tous les produits vulnérables, y compris le kit de développement lui-même. Il n'est pas exclu que cette faille se retrouve bientôt utilisée par un virus chargé de l'exploiter automatiquement


http://www.clubic.com/n/n9908.html

quelle idée d'utiliser visual basic aussi !!!  

je me demande à combien de correctifs ils en sont pour windows XP      

Beaucoup ... mais contrairement à ce que l'on pense, il y a autant de correctifs pour les autres OS.
Et je trouve que Microsoft propose ses patchs de manière plus conviviale même s'il faudrait des explications "pour les nuls"  

Je suis habituellement plus pro que anti-m$ mais même si comme tu dis phil tous les os ont autant de mises à jours, des aussi graves ce n'est pas le cas, enfin je reste quand-même fidele à microsoft ....

En sécurité, Linux n'est pas vraiment mieux placé ...
D'ailleurs, tous les firewall reposent sur des versions bridées de FreeBSD qui est déjà "moins" réactif que Linux.

Le problème du GPL, c'est que tout le monde participe. De ce fait, qu'est-ce qui empêche le programmeur de mettre une porte dérobée ou pire dans le programme ? Il est humainement quasi impossible de tout vérifier ... donc à moins de développer soi-même l'OS (ce que font de nombreuses boîtes) tu seras systématiquement emmerdé un jour ou l'autre.

Je ne suis ni un pro mais ni un anti. J'essaie de peser le pour et le contre pour chacun et franchement, celui qui déclare que Linux ou MacOS sont moins patchés ... se foutent de la gueule de leurs interlocuteurs.
La différence, c'est que sur Mac et avec Windows, vu le parc, les MAJ sont plus médiatiques mais aussi plus faciles à installer !

C'est une mise au point très interressante. Merci PhilouduNord