Les deux bugs corrigés dans le patch MS10-024 permettaient à un attaquant d'intercepter des messages électroniques envoyés depuis Exchange ou le service Windows SMTP. C'est un chercheur de Core Security, Nicolás Economou, qui a fait cette découverte.
Or dans la présentation du bulletin MS10-024, Microsoft ne faisait référence qu'à une vulnérabilité de type déni de service.
Pour les deux failles corrigées sans information, l'éditeur ne précise donc pas la criticité de celles-ci et ne permet donc pas aux entreprises de juger de la nécessité d'installer (vite ou non) les correctifs.
Selon Core Security, Microsoft a minimisé les risques attachés à ces vulnérabilités. Le cabinet de sécurité précise que les versions 2000, XP, 2003 et 2008 de Windows (desktop et serveur) sont affectées, ainsi que Exchange 2007 et 2010, et que les failles rendent triviales des attaques de type empoisonnement de cache DNS.
Auteur : par La rédaction, ZDNet France
