Microsoft corrige sept failles système en février
Internet Explorer et Windows Media Player sont les principaux composants concernés dans le dernier bulletin de sécurité de l’éditeur.
Sur les sept failles corrigées dans le cadre du bulletin mensuel de sécurité de février (pour mémoire publié le deuxième mardi du mois), deux sont jugées comme « critiques » et cinq « importantes ». Les vulnérabilités critiques concernent le navigateur Internet Explorer et le lecteur Windows Media Player.
La première (bulletin MS06-004) permet l’exécution distante d’un script sur une machine par l’intermédiaire de la faille liée au moteur de rendu graphique (Graphics Rendering Engine) découverte en fin d’année 2005 (voir édition du 2 janvier 2006) et dont la correction avait connu des épisodes mouvementés (voir notamment édition du 10 janvier 2006). Aujourd’hui, le correctif de la « faille WMF » se limite à Internet Explorer 5.01 Service Pack 4 sur Windows 2000 SP 4. Le patch MS06-004 est une mise à jour cumulative qui remplace notamment le bulletin MS05-054.
Le bulletin MS06-005 concerne le lecteur Windows Media Player de la version 6.4 à la 10 sur l’ensemble des systèmes Windows, y compris XP SP2 et Server 2003. La encore, des pirates pourraient exploiter la vulnérabilité (liée à une erreur de type buffer overflow présente au niveau du traitement des images Bitmap) pour exécuter du code arbitraire sur une machine distante. Selon Microsoft, seules les sessions sous administrateur système permettraient pleinement l’exploitation de la faille.
Les navigateurs autres qu’IE
Bien que classée comme seulement « importante », la faille référencée MS06-006 permet aussi l’exécution de code distant. Peut-être parce qu’elle se limite au plug-in Windows Media Player pour les navigateurs autres que Internet Explorer. Il n’en reste pas moins que la vulnérabilité touche les systèmes Windows 2000 SP4, XP SP1 et SP2, et Server 2003 et SP1.
Classés « importants », les bulletins MS06-007 à 010 affectent respectivement le protocole TCP/IP à travers l’Internet Group Management Protocol (IGMP), le service Webclient (déjà affecté selon le bulletin MS05-028), les versions coréennes de Windows et Office, et le logiciel PowerPoint 2000. Ces failles touchent essentiellement les versions XP et Server 2003 (et leurs différents SP) de Windows ainsi que Office 2003.
Comme d’habitude la mise à jour de ces correctifs est vivement recommandée. Soit automatiquement par l’intermédiaire du service Windows/Microsoft Update. Soit en appliquant les patchs manuellement après un téléchargement à partir de la page dédiée de Microsoft.