Bulletins mensuels de Microsoft : 24 failles corrigées dans Internet Explorer

Microsoft a publié hier soir pas moins de 29 correctifs de sécurité pour l’ensemble de ses produits supportés. La grande majorité concerne Windows et Office, et on compte notamment un bulletin critique comportant 24 failles d’Internet Explorer (toutes versions confondues).

Comme chaque deuxième mardi de chaque mois, Microsoft a publié ses bulletins de sécurité destinés surtout à Windows et Office. Le bulletin le plus conséquent est de niveau critique et corrige un lot impressionnant de 24 failles de sécurité, dont une a été révélée publiquement et est donc connue potentiellement des pirates. Pour au moins une de ces failles (vraisemblablement plusieurs), il suffirait de visiter une page web spécialement conçue pour qu’un malware puisse s’installer et exécuter un code arbitraire.

L’autre bulletin critique concerne le Journal des évènements intégré à Windows. De manière assez similaire à toutes les autres failles critiques, celle-ci pourrait être exploitée via l’ouverture d’un fichier Journal conçu spécifiquement. Là encore, le pirate aurait la possibilité de faire exécuter un code arbitraire.

Les trois bulletins suivants sont de niveau important et font référence à des failles qui pourraient permettre des élévations de privilèges. Les composants touchés sont le clavier visuel, le pilote de gestion des sockets et DirectShow. Pour ce dernier néanmoins, les utilisateurs de Windows 8 et 8.1 qui se servent essentiellement de la partie Modern UI seront moins touchés grâce au mode protégé amélioré, notamment lors de la navigation avec Internet Explorer 11.

La dernière vulnérabilité concerne le Microsoft Service Bus dans Windows Server. Elle peut être exploitée en envoyant une séquence de messages AMQP (Advanced Message Queuing Protocol), ce qui pourrait provoquer un déni de service.

Comme d’habitude, les mises à jour sont disponibles dans Windows Update et les utilisateurs ont tout intérêt à les installer sans tarder.