Microsoft a confirmé la semaine passée l’existence d’une faille dans SQL Server sur laquelle ses équipes travaillent depuis avril 2008, soit huit mois. En septembre, un certain nombre de spécialistes de la sécurité informatique estimaient que la rustine avait été appliquée dans un lot de correctifs. Mais Microsoft n’a pas confirmé – ni d’ailleurs infirmé – l’information.
La semaine passée, les clients ont cependant été informés qu’un problème pouvait survenir sur de vieilles versions du SGBDR. Une information qui fait suite à la divulgation de la faille par Bernhard Mueller, l’un de ses découvreurs. Selon lui, Microsoft a été prévenu de son existence en avril dernier sans qu’elle ne soit divulguée. Ensuite l’éditeur s’est borné à donner quelques nouvelles des travaux de correction jusqu'à fin septembre puis… plus rien !
Du coup, Bernhard Mueller a envoyé quatre mails de relance pour savoir si le problème était corrigé avant finalement de divulguer la faille le 9 décembre du fait du manque d’information en provenance de Microsoft. De quoi réveiller Redmond qui explique avoir immédiatement débuté des investigations (en avril, dès lors que la faille a été connue, ndlr) "et avoir continué de travailler sur le sujet depuis cette époque." Mais toujours aucune réponse concernant une éventuelle rustine. Rustine qui devrait cependant arriver prochainement selon Wolfgang Kandek, CTO chez Qualys, spécialiste de la sécurité du SI, interrogé par notre confrère Infoworld qui a rendu l’histoire publique.
Toute reproduction ou représentation intégrale ou partielle des pages publiées sur ce site, faite sans l'autorisation de l'éditeur est illicite et constitue une contrefaçon. LeMagIT s'engage à respecter la confidentialité des données personnelles conformément à la loi 78-17 du 6 janvier 1978. LeMagIT n'assume aucune responsabilité de type éditoriale sur les commentaires publiés sur ce site, la mise en ligne n'étant soumise à aucun contrôle à priori. La fréquentation de ce site est certifiée OJD.
Tous les services du MagIT sur