Windows XP définitivement absent des correctifs mensuels de sécurité

Enfin tant qu'il n'y a pas d'exception 53
Vincent Hermann

Les nouveaux bulletins de sécurité de Microsoft ne sont pas nombreux ce mois-ci. Publiés hier soir, ils confirment par contre un changement important puisqu’ils sont les premiers à laisser complètement plusieurs produits à la porte, dont Windows XP.

windows xp

Deux bulletins critiques pour Internet Explorer et Word 

Microsoft a diffusé cette nuit plusieurs mises à jour de sécurité. Le mois de mai est concerné par un total de quatre bulletins, deux étant critiques, les deux autres étant importants. Parmi les correctifs, on en trouve un particulièrement crucial puisqu’il concerne Internet Explorer et corrige six vulnérabilités d’un coup. Estampillé MS14-018, il est de niveau critique et colmate des brèches qui permettraient une exécution de code arbitraire à distance si elles étaient exploitées.

L’autre bulletin critique concerne Word et les Office Web Apps. Trois failles sont corrigées, dont une révélée publiquement, ce qui accentue les risques d’exploitation. Dans le pire des cas, une attaque à distance pourrait là aussi prendre place si un utilisateur ouvrait un fichier Word spécialement conçu pour exploiter l’une des vulnérabilités. Toutes les versions du traitement de texte depuis la 2003 sont concernées, de même que les Web Apps sur SharePoint 2010, 2013 et Web Apps Server 2013.

Les deux autres bulletins sont considérés comme importants, ce qui signifie que l’exploitation des failles est plus complexe. Le premier concerne Windows directement et corrige un problème dans la manière dont le système d’exploitation gère les fichiers .BAT et .CMD depuis un emplacement réseau, qu’il soit de confiance ou non.

Windows XP, le grand absent 

Mais les bulletins de mai concernant surtout les Windows qui sont encore supportés, à savoir toutes les versions depuis Vista (avec le Service Pack 2). Windows XP est donc officiellement sorti du cadre des correctifs de sécurité régulier, et Microsoft s’est d’ailleurs fendu d’un billet spécifique sur l’un de ses blogs pour rappeler que le vieux système doit être considéré comme mort par ses utilisateurs.

Brandon LeBlanc, responsable de la communication chez Microsoft, a tenu toutefois à revenir sur un cas particulier : le correctif 2929437 du bulletin MS14-021. Il s’agit du patch publié le 1er mai à destination d’Internet Explorer, y compris pour la version 8 sous Windows XP, alors même que son support était terminé depuis le 8 avril. Il redonne l’argument selon lequel le support était justement fini depuis peu, mais il insiste : ce correctif était une exception, le support reste bel et bien terminé. Difficile toutefois de faire prendre la mesure de cet arrêt à travers, justement, ce genre d’exception.

Nous rappellerons également que si le support technique de Windows XP est terminé pour le grand public, les grandes entreprises et les administrations peuvent acheter un support supplémentaire. C’est le cas par exemple du Royaume-Uni et des Pays-Bas qui ont étendu d’un an la réception des correctifs. Un délai qu’une planification plus en amont aurait pu éviter car la note peut s’avérer salée : entre 100 et 200 dollars par poste et par an.


chargement
Chargement des commentaires...