Microsoft a publié hier les derniers bulletins de sécurité, comme chaque deuxième mardi de chaque mois. On trouve cette fois six bulletins, dont quatre critiques et deux importants. Parmi les failles critiques, une en particulier fait déjà l’objet d’attaques recensées.
Les six nouveaux bulletins sont les suivants :
Critiques :
Si pour une raison ou une autre vous ne pouvez pas installer la mise à jour, il reste la possibilité de couper complètement l’utilisation des contrôles ActiveX au sein d’Office. Pour cela, il faut se rendre dans les options d’un des logiciels de la suite bureautique puis sélectionner le centre de gestion de la confidentialité.
Dans la fenêtre qui s’ouvre, sélectionner « Paramètres ActiveX » puis le premier réglage de la liste : « Désactiver tous les contrôles sans notification ». Il s’agit d’une mesure extrême mais qui garantit la sécurité. Sachez toutefois que des fonctionnalités avancées de certains documents ne pourront plus fonctionner, par exemple un tableau Excel utilisant le contrôle listbox pour une sélection :
Si vous êtes toutefois un utilisateur « classique » d’Office, ces fonctions ne devraient pas trop vous manquer. L’installation de la mise à jour reste évidemment la meilleure solution.
Les six nouveaux bulletins sont les suivants :
Critiques :
- MS12-023 : Mise à jour cumulative pour Internet Explorer. Corrige plusieurs failles dont au moins une est critique.
- MS12-024 : Corrige une faille qui peut permettre l'exécution de code à distance si un utilisateur ou une application exécutait ou installait un fichier exécutable portable (PE) signé et spécialement conçu sur un système affecté.
- MS12-025 : Corrige une faille dans le framework .NET pouvant permettre une exécution de code à distance. Toutes les versions en cours de support, de la 1.0 SP3 à l’actuelle 4.0, sont concernées.
- MS12-027 : Corrige une faille dans MSCOMCTL.OCX, l’ActiveX Windows Common Controls. Le fichier est en fait remplacé par une nouvelle version. Toutes les versions 32 bits d’Office sont touchées, ainsi que d’autres produits tels que SQL Server.
- MS12-026 : Corrige plusieurs vulnérabilités dans Forefront Unified Access Gateway (UAG). Exploitées, ces failles pourraient permettre une divulgation d’informations.
- MS12-028 : Corrige une faille dans Office 2007, Works 9 et le convertisseur de fichiers Works 6-9. L’exploitation de la faille passe par un document Works spécialement conçu.
Si pour une raison ou une autre vous ne pouvez pas installer la mise à jour, il reste la possibilité de couper complètement l’utilisation des contrôles ActiveX au sein d’Office. Pour cela, il faut se rendre dans les options d’un des logiciels de la suite bureautique puis sélectionner le centre de gestion de la confidentialité.
Dans la fenêtre qui s’ouvre, sélectionner « Paramètres ActiveX » puis le premier réglage de la liste : « Désactiver tous les contrôles sans notification ». Il s’agit d’une mesure extrême mais qui garantit la sécurité. Sachez toutefois que des fonctionnalités avancées de certains documents ne pourront plus fonctionner, par exemple un tableau Excel utilisant le contrôle listbox pour une sélection :
Si vous êtes toutefois un utilisateur « classique » d’Office, ces fonctions ne devraient pas trop vous manquer. L’installation de la mise à jour reste évidemment la meilleure solution.