Microsoft : bulletins de sécurité du mois de décembre 2009

Comme chaque deuxième mardi de chaque mois, Microsoft a publié ses bulletins de sécurité. Ils sont cette fois-ci au nombre de six, répartis en trois critiques et trois importants. Toutes les failles corrigées sont réparties entre Windows et Office.

bulletins decembre 2009

Mises à jour critiques

  • MS09-071 : Cette mise à jour de sécurité corrige deux vulnérabilités dans Windows. Ces vulnérabilités pourraient permettre l'exécution de code à distance si des messages reçus par le serveur du service d'authentification Internet sont copiés de façon incorrecte dans la mémoire lors du traitement des tentatives d'authentification PEAP. Un attaquant qui parviendrait à exploiter l'une de ces vulnérabilités pourrait prendre le contrôle intégral d'un système affecté. Les serveurs utilisant le service d'authentification Internet sont uniquement concernés lors de l'utilisation de l'authentification PEAP avec MS-CHAP v2.
  • MS09-074 : Cette mise à jour de sécurité corrige une vulnérabilité dans Office Project qui permettrait l'exécution de code à distance si un utilisateur ouvrait un fichier Project spécialement conçu. Tout attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral du système affecté.
  • MS09-072 : Cette mise à jour de sécurité corrige quatre vulnérabilités et une vulnérabilité dans Internet Explorer. Elles pourraient permettre l'exécution de code à distance si un utilisateur affichait une page Web spécialement conçue à l'aide d'Internet Explorer.

Mises à jour importantes

  • MS09-069 : Cette mise à jour de sécurité corrige une vulnérabilité dans Windows ouvrant un possible déni de service si un attaquant à distance authentifié, au cours d'une communication via IPsec (Internet Protocol Security), envoie un message ISAKMP spécialement conçu au service LSASS (Local Security Authority Subsystem Service) sur un système affecté.
  • MS09-070 : Cette mise à jour de sécurité corrige deux vulnérabilités dans Windows. La plus grave pourrait permettre l'exécution de code à distance si un attaquant envoyait une requête HTTP spécialement conçue à un serveur Web avec ADFS activé. Pour exploiter l'une de ces vulnérabilités, un attaquant devrait être authentifié.
  • MS09-073 : Cette mise à jour de sécurité corrige une vulnérabilité dans les convertisseurs de texte de WordPad et Office. Cette vulnérabilité pourrait permettre l'exécution de code à distance si un fichier Word 97 spécialement conçu était ouvert dans WordPad ou dans Microsoft Office Word. Tout attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur.
Rappelons que les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subissent moins d'impact que ceux qui possèdent des privilèges d'administrateur pour la grande majorité des failles.

Comme d’habitude, le moyen le plus simple d’installer les mises à jour est de laisser faire Windows Update sous Windows XP, Vista et Windows 7. Pour ceux qui auraient désactivé les mises à jour automatiques sous Windows XP, il existe toujours Microsoft Update.

Vous n'avez pas encore de notification

Page d'accueil
Options d'affichage
Abonné
Actualités
Abonné
Des thèmes sont disponibles :
Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !