Microsoft corrige une nouvelle faille de Windows

Cette faille informatique, située au niveau du groupe de commandes Direct-X de Windows pour son lecteur audio-vidéo de fichiers MIDI (musical instrument digital interface), donnait la possibilité à un intrus d’effacer des fichiers, de fouiller dans les archives, d’envoyer des e-mails voire de lancer des attaques informatiques depuis l’ordinateur piraté.

Techniquement, un pirate pouvait écrire un fichier MIDI destiné à exploiter cette faille et l’envoyer par courrier électronique à sa victime ou le distribuer sur internet ou sur un système d’échange de fichiers, a expliqué Stephen Toulouse, responsable des logiciels de sécurité chez Microsoft.

Les utilisateurs dotés d’une nouvelle version d’Outlook ou ayant mis à jour les fonctions de sécurité de la messagerie Microsoft étaient protégés contre le lancement à leur insu du programme, a-t-il ajouté.

Cette attaque peut contourner les défenses des logiciels antivirus et pare-feu de messagerie électronique, indique Russ Cooper de TruSecure, un fournisseur de services de sécurité informatique.

En dehors du système d’exploitation pour serveurs Windows Server 2003, qui possède des fonctions minimisant les effets d’une telle attaque, toutes les versions de Windows sont vulnérables à ce risque jugé "critique", a déclaré Microsoft.

Pour plus d’information, le géant du logiciel permet le téléchargement du correctif ("patch") sur une page dédiée de son site (www.microsoft.com/security/security_bulletins/ms03-030.asp).

Microsoft dit n’avoir pas connaissance de cas où cette faille, découverte par l’éditeur eEye Digital Security, aurait été exploitée.

La société de Redmond, dans l’Etat de Washington, a annoncé la découverte de plusieurs failles de sécurité dans les dix derniers jours, dont une qualifiée de majeure mercredi dernier qui affectait toutes les versions de Windows.