Les utilisateurs de Windows XP recevront un patch, même si Microsoft a mis fin au support public de son système d’exploitation il y a environ 3 semaines.
Trois semaines après la date de fin de support de Windows XP, Microsoft a publié un correctif pour un Internet Explorer qui vient combler une faille critique de type zero-day. Bien que Windows XP ne soit pas directement concerné puisque IE peut facilement être remplacé par Chrome ou Firefox, Microsoft a fourni un patch pour les anciennes versions de son navigateur. La faille commençait en effet à être activement exploitée par les pirates informatiques.
Cette vulnérabilité, qui affecte un paquet de versions d’Internet Explorer (de la six à la onze), pourrait permettre à un hacker d’exécuter à distance du code sur un ordinateur infecté si l’utilisateur visite une page web infectée en utilisant le navigateur de Microsoft. « Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait obtenir les mêmes droits d’administration que l’utilisateur actuel », indique le bulletin de sécurité de l’éditeur de Redmond.
Des attaques depuis des sites malveillants
La faille est en effet classée critique, le niveau le plus élevé dans les catégories de sécurité de Microsoft. Le scénario le plus probable pour compromettre les utilisateurs est la diffusion de liens vers des sites malveillants via des e-mails et des messages instantanés. Le patch sera automatiquement téléchargé et installé dans les ordinateurs Windows configurés pour recevoir les mises à jour logicielles de Microsoft. Les utilisateurs qui ne reçoivent pas ces mises à jour automatiques sont invités à installer immédiatement ce patch.
Bien que les utilisateurs de Windows XP ne sont plus censés obtenir ce type de correctif, puisqu’ils sont désormais livrés à eux-mêmes depuis la fin du support du système d’exploitation le 8 avril dernier, Microsoft a décidé de faire une exception et de pousser cette mise à jour pour XP.
« La sécurité de nos produits est quelque chose que nous prenons très au sérieux. Quand nous avons vu les premiers rapports au sujet de cette vulnérabilité, nous avons décidé de la corriger et de la fixer rapidement pour tous nos clients », a déclaré dans un communiqué Adrienne Hall, directrice générale chez Microsoft en charge de l’activité Trustworthy Computing.
D’autres mises à venir ?
Toutefois, cette décision ne doit pas être interprétée comme une marche arrière de l’éditeur qui refuse toujours d’inclure systématiquement les utilisateurs de XP dans ses mises à jour de sécurité, selon Al Gillen, analyste d’IDC. Pour commencer, dans ce cas, la faille affecte IE, pas XP. Microsoft ne corrige pas l’OS lui-même, a-t-il précisé à nos confrères d’IDG NS.
Dans un billet de blog sur le patch, Dustin Childs, responsable du groupe intervention chez Microsoft Trustworthy Computing, a rappelé que XP n’est plus supporté et que «nous continuons à encourager les clients à migrer vers un système d’exploitation moderne, tel que Windows 7 ou 8.1 » et bien sûr IE 11, la dernière version du navigateur web. Adrienne Hall a également souligné que ce geste vis-à-vis des utilisateurs de XP était une « exception » liée à la fin récente du support du système d’exploitation. « L’arrivée de cette mise à jour ne signifie pas que vous devez arrêter de penser à la migration de Windows XP », écrit-elle dans un billet de blog. Elle a également pointé, qu’il y a eu « un très petit nombre d’attaques » exploitant cette faille et que le danger avait été « exagéré ».
Toutefois, Michael Silver, analyste au Gartner, a indiqué à nos confrères d’IDG NS qu’il ne serait pas surpris si Microsoft venait de nouveau à la rescousse des utilisateurs de XP dans les six prochains mois si un autre grave défaut surgissait. Windows XP est encore utilisé sur un peu plus d’un quart de tous les ordinateurs connectés à Internet, selon Net Applications.