L’un des « avantages » des logiciels propriétaires, est que des patchs de sécurité sont plus ou moins régulièrement distribués aux clients.

Si envisager qu’un produit logiciel soit livré sans la moindre faille de sécurité parait aujourd’hui « utopiste », le minimum attendu semble quand même d’être informé par les éditeurs des failles corrigées par les patchs. C’est pourtant ce qu’a visiblement oublié de faire Microsoft lors de la release de son dernier patch.

Voici l’info telle qu’elle est relatée sur le site www.zdnet.fr :

A l’occasion de son Patch Tuesday d’avril, Microsoft a corrigé deux failles majeures de ses logiciels, sans toutefois que des informations ne soient communiquées explicitement dans ses bulletins de sécurité, comme c’est en principe le cas.

Les deux bugs corrigés dans le patch MS10-024 permettaient à un attaquant d’intercepter des messages électroniques envoyés depuis Exchange ou le service Windows SMTP. C’est un chercheur de Core Security, Nicolás Economou, qui a fait cette découverte.

Or dans la présentation du bulletin MS10-024, Microsoft ne faisait référence qu’à une vulnérabilité de type déni de service.

Pour les deux failles corrigées sans information, l’éditeur ne précise donc pas la criticité de celles-ci et ne permet donc pas aux entreprises de juger de la nécessité d’installer (vite ou non) les correctifs.

Selon Core Security, Microsoft a minimisé les risques attachés à ces vulnérabilités. Le cabinet de sécurité précise que les versions 2000, XP, 2003 et 2008 de Windows (desktop et serveur) sont affectées, ainsi que Exchange 2007 et 2010.

source : http://www.zdnet.fr/actualites/informatique/0,39040745,39751437,00.htm#xtor=RSS-8