Patch Day : Microsoft publie un gros lot de mises à jour

De l'emmental au gruyère 94

xboxLa Synthèse des Bulletins de sécurité Microsoft pour ce mois d'août 2007 vient d'être publiée, comme chaque milieu de mois. Au programme, nous retrouvons six bulletins jugés critiques et trois importants, comprenant respectivement huit et cinq vulnérabilités comblées. La majorité de ces vulnérabilités permet l'exécution de code à distance par un utilisateur extérieur malveillant, hormis la dernière décrite ci-dessous.

Sont notamment concernés les logiciels Excel (Windows et Mac OS), Internet Explorer (5.01, 6 et 7), Windows Media Player (7.1, 9, 10 et 11), ou encore certains gadgets de Windows Vista. Vous mettre à jour via Windows Update, en vous rendant sur la page de synthèse de Microsoft ou en cliquant sur les liens ci-dessous, est donc vivement conseillé.

Les 6 Bulletins de sécurité critiques :

  • Microsoft MS07-042 : vulnérabilité dans Microsoft XML Core Services. Concerne Windows 2000, XP (SP2 et Pro), Server 2003 et Vista.
  • Microsoft MS07-043 : vulnérabilité dans le service OLE (Object Linking and Embedding) Automation. Concerne Windows 2000, XP SP2, XP Pro, Server 2003, Visual Basic 6 SP6, mais aussi Office 2004 pour Mac. Windows Vista n'est par contre pas touché.
  • Microsoft MS07-044 : vulnérabilité dans Microsoft Excel. Concerne Office 2000 SP3, Office XP SP3, Office 2003 SP2 et Office 2004 pour Mac.
  • Microsoft MS07-045 : trois vulnérabilités d'Internet Explorer. Concerne IE 5.01, 6 SP1, et 7, et ce sur Windows 2000 SP4, XP SP2, XP Pro, Server 2003 et Vista.
  • Microsoft MS07-046 : vulnérabilité dans GDI (Graphics Rendering Engine). Concerne Windows 2000 SP4, XP SP2, XP Pro, et Server 2003 x64 et SP1. Vista échappe une nouvelle fois à cette faille.
  • Microsoft MS07-050 : vulnérabilité dans le VML (Vector Markup Language). Concerne IE 5.01, 6, 6 SP1, et 7, et ce sur Windows 2000 SP4, XP SP2, XP Pro x64, Server 2003 et Vista.

Les 3 Bulletins de sécurité importants :

  • Microsoft MS07-047 : deux vulnérabilités dans Windows Media Player. Elles concernent WMP 7.1, 9, 10 et 11, ce sur Windows 2000 SP4, XP SP2, XP Pro x64, Server 2003 et Vista.
  • Microsoft MS07-048 : deux vulnérabilités dans les Gadgets pour Windows Vista. Les gadgets Titres des flux, Contacts et Météo sont touchés. Plus de détails ci-dessous.
  • Microsoft MS07-049 : vulnérabilité dans Virtual PC et Virtual Server. Ne concerne pas d'exécution de code à distance cette fois, contrairement à toutes les autres vulnérabilités. Microsoft parle d’élévation de privilèges. La plupart des Virtual PC et Server sont concernés, sauf Virtual PC 2007 et Virtual Server 2005 R2 SP1.

À propos du correctif MS07-048, c'est-à-dire celui sur les Gadgets de Windows Vista, Microsoft explique que « ces vulnérabilités pourraient permettre à un attaquant anonyme d'exécuter du code à distance en utilisant les privilèges de l'utilisateur connecté. Si un utilisateur s'abonnait à un flux RSS malveillant dans le gadget Titres des flux ou ajoutait un fichier de contacts malveillant dans le gadget Contacts ou si un utilisateur cliquait sur un lien malveillant dans le gadget Météo, un attaquant pourrait potentiellement exécuter du code sur le système. Dans tous les vecteurs d'attaque, les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur. »

La firme de Redmond profite de cette synthèse pour rappeler qu'elle a publié une mise à jour de l'Outil de suppression des logiciels malveillants de Windows.

Par Nil Sanyas Publiée le 16/08/2007 à 09:53 - Source : Microsoft
Publicité