Chez Microsoft, on aime parfois prendre son temps pour bien faire les choses. Hier, à l'occasion de son traditionnel Patch Tuesday, l’éditeur a publié un énorme paquet de rustines Windows : neuf mises à jour pour combler pas moins de 56 failles de sécurité ! Parmi elles figure une faille critique baptisée « Jasbug » qui existe dans le système d’exploitation depuis... 15 ans. Elle a été découverte il y a un an par la société de sécurité « JAS Global Advisors » (d’où le nom de la faille) et elle est particulièrement méchante. Elle permet à des pirates de réaliser des attaques de type « man in the middle » sur des PC portables connectés sur un réseau d’entreprise par le service d’authentification Active Directory, avec à la clé l’exécution de code arbitraire.





Attaque "Jasbug"






Mais corriger cette faille n’était pas si facile, car le problème résidait dans le design même d’une partie de Windows, créée il y a quinze ans. Une simple mise à jour du code n’était donc pas suffisante. Il fallait refaire tout un travail d’ingénierie, qui a duré un an. Il paraît, pourtant, que cette faille n’a jamais été exploitée... Ouf !