Microsoft pressé de livrer ses derniers patchs

L'éditeur de Redmond a indiqué qu'il livrera quatre mises à jour de sécurité la semaine prochaine pour corriger cinq vulnérabilités dans Windows et Office, y compris celle identifiée par un chercheur de Google il y a un mois.

Comme prévu, le délai est relativement court : Microsoft a déjà livré plusieurs séries de patchs, alternant les gros et les petits correctifs, avec un calendrier fixé sur les mois pairs pour les mises à jour les plus importantes. En juin, par exemple, l'entreprise a émis 10 bulletins de sécurité corrigeant un nombre record de 34 vulnérabilités. Le mois de mai s'est limité pour sa part à deux bulletins et à deux failles seulement. « Ce mois-ci n'est pas encombré, et aurait été encore plus léger si Tavis ne nous avait pas forcé à aller plus vite que le rythme choisi pour les patchs de vulnérabilité,» a déclaré Wolfgang Kandek, directeur technique de Qualys.

Ce dernier fait allusion à Tavis Ormandy, ingénieur en sécurité chez Google qui a publié, début juin, le code d'attaque utilisé par un bug affectant l'aide de Windows XP et du Centre de Support, une fonctionnalité qui permet aux utilisateurs d'accéder et de télécharger des fichiers d'aide de Microsoft via le Web. Elle est également utile aux supports techniques pour effectuer la maintenance à distance d'un PC en local. Comme l'a annoncé Microsoft, ce bug affecte également Windows Server 2003. Après avoir rendu cette vulnérabilité publique, insinuant au passage que Microsoft ne s'engagerait pas à émettre un correctif dans un délai raisonnable, Tavis Ormandy s'est retrouvé au coeur d'une sérieuse controverse. Si certains chercheurs en sécurité l'ont critiqué d'avoir divulgué cette faille publiquement, d'autres ont pris sa défense, bombardant Microsoft et la presse, Computerworld compris, pour les accuser de lier Tavis Ormandy à son employeur, Google.

La semaine dernière, un groupe de chercheurs anonymes du nom de Collectif de Chercheurs rejetés par Microsoft (CSEM) - le groupe a repris ironiquement l'acronyme de l'équipe de chercheurs chargée de pister les bugs chez Microsoft - a riposté en publiant des informations sur une vulnérabilité non corrigée dans Windows Vista et Windows Server 2008. Le groupe déclare vouloir marquer sa désapprobation quant à « l'hostilité de Microsoft envers les chercheurs en sécurité, » et cite l'affaire Ormandy comme exemple le plus récent. « Cela montre que Microsoft peut agir très rapidement quand il le faut, » a déclaré Wolfgang Kandek, qui s'exprimait sur la vitesse de réaction de Microsoft à livrer ses patchs.

[[page]]

Selon Jerry Bryant, un manager en relation avec le Microsoft Security Response Center, l'entreprise commençait son enquête lorsque Tavis Ormandy a rendu le fait public. Celui-ci a contacté l'éditeur le 5 juin. « Deux jours plus tard, Microsoft lui faisait savoir qu'elle ne pouvait pas estimer de calendrier de livraison d'un patch avant la fin de la semaine, » a t-il déclaré. «Le 9 juin, la faille a été rendue publique alors que nous étions dans les premières phases d'investigation, » a t-il encore écrit dans un mail. «À la fin de la semaine, nous avions décidé d'essayer d'inclure le correctif avec le cycle prévu en août, mais nous avons du aller plus vite, afin limiter le risque pour nos clients, soumis cette fois à des attaques actives. »

Les pirates n'ont pas tardé à utiliser la vulnérabilité à leur profit, lançant des attaques cinq jours après la publicité faite par Tavis Ormandy. La semaine dernière, Microsoft a indiqué que depuis le 15 juin, elle avait comptabilisé plus de 10.000 attaques utilisant le bogue du Centre d'aide. Jerry Bryant a également fait remarquer que la livraison d'un patch dans ce délai a été possible parce que le bug n'affectait que deux versions de Windows. La notification mensuelle de l'éditeur a donc été avancée à la semaine prochaine: trois des quatre mises à jour sont qualifiées de «critique», pour signifier le risque le plus élevé dans le classement établi par Microsoft. Le quatrième patch est qualifié pour sa part d'«important», soit juste derrière dans l'échelle des menaces.

Egalement dans le tuyau, un correctif pour un bug déjà connu qui affecte les versions 64 bit de Windows 7 et Windows Server 2008 R2, réparant une faille confirmée par l'éditeur mi-mai. Les deux patchs concernant Windows sont également marquées comme « critiques », tandis que la mise à jour d'Office est également désignée d'« importante ». Les mises à jour d'Office bouchent des trous dans la base de données Access et le client de messagerie Outlook. Enfin, les correctifs à paraitre mardi seront les dernières pour Windows 2000 et Windows XP Service Pack 2 (SP2), puisque ces deux produits ne bénéficieront plus de support à partir de cette date.

Les quatre mises à jour seront mises en ligne à environ 1 h (Eastern Standard Time) le 13 juillet.