Microsoft corrige à nouveau des vulnérabilités dans Windows XP

Le lot de rustines de Microsoft pour le mois de juin visait 94 vulnérabilités et, pour le second mois d’affilée, des correctifs pour Windows XP et d’autres systèmes n’étant plus supportés. L’éditeur cherche ainsi à combler des failles qui pourraient être exploitées par des outils attribués à l’agence américaine du renseignement.

La notice d’information de sécurité 4025685 fournit des informations complémentaires sur des mises à jour critiques concernant des systèmes « confrontés à un risque accru » d’attaques d’états nations. En tout, ce sont 14 bulletins de sécurité critiques et un important pour divers produits qui sont ici couverts. Toutes les vulnérabilités, à l’exception d’une, permettent l’exécution de code arbitraire à distance.

Cette notice concerne également trois correctifs s’adressant à des systèmes obsolètes mais susceptibles d’être visés par des outils offensifs attribués à la NSA. Il y a là deux rustines pour Windows XP, adressant les menaces EsteemAudit (CVE-2017-0176) et EnglishmanDentist (CVE-2017-8487), des vulnérabilités permettant l’exécution de code à distance dans le protocole RDP et OLE. En outre, Microsoft a corrigé la vulnérabilité d’IIS liée à la menace ExplodingCan (CVE-2017-7269).

L’éditeur souligne que les correctifs pour les systèmes obsolètes doivent être installés manuellement.

Dans un billet de blog, Eric Doerr, directeur général du Security Response Center de Microsoft, précise que la décision de publier ces correctifs pour des plateformes sorties de la période de support étendu « ne devrait pas être vue comme un renoncement à nos politiques de service standard ». Mais voilà, « sur la base d’une évaluation de l’environnement actuel de la menace par nos ingénieurs en sécurité, nous avons pris la décision de rendre disponibles plus largement des mises à jour ». Toutefois, « comme toujours, nous recommandons à nos clients de mettre à niveau vers les plateformes les plus récentes ».