Le traditionnel "Mardi des correctifs" Microsoftien se solde, en mars, par la publication de 8 correctifs, dont 5 estimés "critiques", capables de colmater au total 12 brèches (au moins !). Comme pré-annoncé la semaine dernière, sont concernés Windows, Internet Explorer, Word, MSN Messenger et le serveur de messagerie Exchange.

La première faille concerne un défaut de la pile tcp/ip pouvant conduire à une possibilité d'exécution de code à distance ou à une attaque en déni de service. Référencée MS05-019, c'est probablement là le trou de sécurité qui intéressera le plus les apprentis pirates puisque les défauts y sont multiples. Song Liu, Hongzhen Zhou, l'équipe d'ISS, Fernando Gont, l'équipe de Qualys, tous ont soulevé quelques questions sur la MTU, sur l'interdépendance (inattendue) d'ICMP et de TCP, sur des instabilités d'ICMP même etc. Ce problème, doit-on préciser, ne concerne pas uniquement Microsoft. L'IETF émet également un draft expliquant comment un message ICMP forgé peut être utilisé pour entamer une attaque en déni de service à l'encontre de services TCP.

Le bulletin MS05-020 réunit à lui seul plusieurs rustines. Le détail n'est pas d'une précision extraordinaire, mais les curieux et les chercheurs de « pentest » peuvent se retourner vers le site de Berend-Jan Wever qui commente largement une faille DHTML et offre une version revue et actualisée de son Internet Exploiter.

L'alerte MS05-022 corrige un problème lié au traitement des fichiers Gif par MSN Messenger, la MS05-023 consolide le traitement de texte Word et le correctif lié à l'annonce MS05-021 bouche un trou de sécurité qui affecte Microsoft Exchange Server, trou considéré comme très important. Remarquons à ce sujet que malgré la gravité de la situation, le Response Team de Microsoft a su garder un humour totalement inoxydable, puisque, au chapitre des « mesures de contournement », il est conseillé de (passage non traduit afin que personne ne puisse nous accuser d'avoir inventé ces informations).
"Use a firewall to block the port that SMTP uses. Typically, that is port 25. Impact of Workaround :
This workaround should only be used as a last resort to help protect you from this vulnerability. This workaround may directly affect the ability to communicate with external parties by e-mail".

Bloquer le port 25 sur un serveur de messagerie… forcément, sans échange, une messagerie est moins vulnérable. Mais ça marche un peu moins bien.

Achevons ce rapide survol des bouche-trous en signalant l'existence de 3 bulletins concernant le système lui-même, dont un concernant spécifiquement le noyau. Il s'agit des alertes MS 05-016, 017 et 018 simplement qualifiées d'importantes.

Importantes, c'est vite dit, s'interroge à ce sujet l'auteur du très couru blog Le Tao de la Sécurité. Car, si l'on se penche sur la rédaction desdites alertes, l'on note tout de même sur la mention "ouvre la voie à une éventuelle exécution à distance d'un programme exécutable". Des moins inquiets pourraient même s'en formaliser, non ? Et voici Richard Bejtlich parti à la recherche d'informations un peu moins fumeuses et plus à même de rasséréner le RSSI sachant RSSer. Il faut admettre qu'en effet, il faut en cliquer, des croix et des sous-chapitres, pour obtenir parfois un indice un peu plus palpable qu'une annonce de danger. Idem pour ce qui concerne les dispositions de "protection transitoires en attendant le déploiement du correctif". Et Bejtlich de demander une présentation plus synthétique non pas du bulletin lui-même, mais de la façon dont l'information est présentée. Le primordial en tête, les détails à la fin.