Mise à jour critique de Windows
Microsoft vient de publier en urgence un correctif pour une vulnérabilité inédite découverte à la suite du vol de données de Hacking Team.
Pas question d’attendre le prochain train de correctifs. Microsoft vient de publier en urgence une mise à jour de sécurité pour une vulnérabilité critique. Celle-ci permet d’exécuter à distance du code via des polices OpenType taillées sur mesure et intégrées à un document ou à une page Web malveillants. L’éditeur explique que le risque est celui d’une prise de contrôle complète du système affectée : « un attaquant pourrait alors installer des logiciels ; consulter, modifier ou effacer des données ; ou créer de nouveaux comptes avec des droits utilisateur complets ».
Et s’il y avait urgence à corriger cette vulnérabilité, c’est aussi parce que toutes les versions supportées de Windows et de Windows Server sont concernées, jusqu’au futur Windows 10.
Surtout, cette vulnérabilité s’est retrouvée dévoilée au plus grand monde à la suite du vol de données dont a été victime Hacking Team début juillet. Pas question, donc, de compter sur les processus de divulgation éthiques. Et cette vulnérabilité s’avère d’ailleurs être la seconde affectant le système de gestion des polices OpenType de Windows.
D’autres vulnérabilités inédites ont été découvertes dans les données dérobées à Hacking Team, donnant déjà lieu à plusieurs correctifs chez Microsoft, Oracle, et Adobe. D’autres dispositifs conçus par les Italiens doivent encore trouver remède, comme le rootkit Bios/UEFI conçu pour les interceptions gouvernementales.