Microsoft publie son premier Patch Tuesday pour Vista

Cloud

Le bulletin de sécurité comprend des correctifs pour 20 vulnérabilités, dont
le composant Windows Defender de Vista.

Microsoft vient de publier un ensemble de douze bulletins de sécurité affectant 20 vulnérabilités. Il comporte le premier patch corrigeant un composant essentiel de Windows Vista depuis son lancement grand public le 30 janvier dernier.

Parmi les patches contenus dans cette mise à jour mensuelle, citons la correction d’une vulnérabilité critique dans le dispositif anti-programmes malveillants de Windows Vista (Microsoft Malware Protection Engine).Ce composant active les logiciels de sécurité Windows Defender et OneCare du système d’exploitation.

La faille permettrait à des pirates de prendre le contrôle d’un système, a lancé Microsoft en guise d’avertissement.
« Le fait que Windows Defender soit un composant de Windows Vista rend l’OS vulnérable », a confié un porte-parole de Microsoft à Vnunet.com. « Mais comme Windows Defender met automatiquement à jour le moteur de protection, tous ses utilisateurs, y compris les utilisateurs de Windows Defender sous Windows Vista, ont de grandes chances d’utiliser une version à jour du moteur. Dans ce cas, ils n’auront à effectuer aucune action supplémentaire pour télécharger ou installer la mise à jour. »

Le traditionnel « Patch Tuesday » de février comprend également cinq bulletins critiques supplémentaires incluant des correctifs pour Office, Internet Explorer et Windows.

Les six bulletins restants concernent des vulnérabilités classées comme  » importantes. » Microsoft a précisé que dix des douze mises à jour concernaient des vulnérabilités susceptibles de servir à un pirate pour la prise de contrôle à distance d’un système.

Six des vulnérabilités corrigées ont été la cible de récentes attaques de type zero day (1), a indiqué l’éditeur McAfee. La suite Office s’est dernièrement révélée comme une cible privilégiée pour les pirates. Ces dernières semaines, les pirates ont en effet profité des nombreuses vulnérabilités décelées dans les versions de Word et d’Excel pour installer des programmes malveillants sur des systèmes cibles.

Dans un communiqué, Dave Marcus, directeur des recherches en sécurité et des communications chez McAfee, a déclaré que cette succession d’exploits (2) Office « suit la tendance consistant pour les auteurs de programmes malveillants à s’attaquer à des applications et à des services Microsoft largement déployés. Les auteurs continuent à détecter des vulnérabilités inconnues ou non corrigées dans les applications et services populaires qui seront ensuite utilisées pour lancer des attaques zero day. »

L’un des bulletins d’Office a été publié dans le but de remplacer un correctif lancé précédemment pour Excel et PowerPoint et que Microsoft a reconnu comme étant inefficace.

D’autres correctifs critiques inclus dans le dernier Patch Tuesday répare certains problèmes constatés au niveau d’Internet Explorer, des composants Windows Data Access et du contrôle d’accès HTML Help.

Les correctifs classés comme importants couvrent des vulnérabilités d’exécution de code à distance décelées dans les composants MFC et OLE Dialog de Windows ainsi que deux failles au niveau du service Windows Shell and Image Acquisition permettant d’élever les privilèges utilisateur.

(1) des failles dans des logiciels qui n’ont pas été réparés par les éditeurs de solutions de sécurité
(2) instructions qui permettent l’exploitation de la faille

Traduction d’un article de Vnunet.com en date du 14 février 2007