Microsoft corrige en urgence des vulnérabilités dans Visual Studio et Internet Explorer
Pour la troisième fois cette année, Microsoft rompt avec sa tradition des correctifs mensuels pour patcher en urgence des failles dans Visual Studio et Internet Explorer. Opportunément, ces correctifs sont publiés la veille de l'ouverture de la conférence Black Hat à Las Vegas
Microsoft a publié hier en urgence deux correctifs de sécurité hors de son calendrier habituel de mises à jour mensuelles. Le premier est destiné à corriger des problèmes dans Visual Studio tandis que le second vise à effectuer des changements en profondeur dans Internet Explorer, afin notamment de parer les attaques liées aux problèmes dans Visual Studio.
Le premier correctif, détaillé dans le bulletin MS09-035, vient corriger trois failles dans la bibliothèque de classes C++ ATL fournie avec Visual Studio et utilisée par de nombreux programmeurs. L'Active Template Library (ATL) est une librairie de classes C++, dont l'objectif est de simplifier le développement de composants objets COM (Common Object Model). Cette librairie est largement utilisée par les développeurs Visual Studio pour le développement de contrôles ActiveX. Selon Microsoft, certains développeurs pourraient avoir à recompiler leurs applications après l'application du correctif afin d'éviter tout risque. Microsoft met à leur disposition une page web pour leur permettre de déterminer si une telle recompilation est nécessaire. Adobe par exemple a déjà fait savoir que les contrôles active-X Flash et Shockwave sont concernés et qu'il publiera rapidement une mise à jour.
Le second correctif publié par Microsoft (Bulletin de sécurité MS09-034) vise à empêcher l'exploitation des composants COM ou contrôles ActiveX construits avec la version bugguée de l'ATL dans Internet Explorer. Son application est jugée critique pour l'ensemble des versions d'Internet Explorer (y compris IE 8) sous Windows XP et Windows Vista. Le principal problème résolu par ce correctif est que l'un des bugs (CVE-2009-2493) trouvés par Microsoft dans l'ATL permet à certains contrôles d'ignorer les protections à base de "kill-bits" - une façon pour IE d'empêcher l'exécution de certains contrôles ActiveX référencés comme nocifs. Il supprime aussi trois autres failles détectées dans le navigateur.
Notons pour terminer que si IE est protégé par le correctif MS09-034, ce n'est pas le cas des nombreuses applications faisant usage de contrôles ActiveX et qui sont, potentiellement, victimes des bugs trouvés dans la librairie ATL. Un long travail d'inventaire de ces contrôles devra donc être réalisé pour déterminer la liste de ceux qui devront être recompilés afin de supprimer tout risque possible.
Notons pour terminer que les découvreurs de la faille dans l'ATL, Ryan Smith (Verisign iDefense) et David Dewey (IBM ISS X-Force), interviennent tous deux cet après-midi lors de la conférence Black Hat qui s'ouvre aujourd'hui à Las Vegas. Ils devraient y détailler un peu plus leur découverte dans une présentation intituée "The Language of Trust : Exploiting Trust Relationships in Active Content", consacrée aux problèmes de sécurité liés à la multiplication des contenus interactifs sur le web. Tout un programme...