Patch Tuesday : Microsoft corrige 26 failles de sécurité

CloudPoste de travailSystèmes d'exploitation

Après un mois de janvier léger, le Patch Tuesday de Microsoft pour février délivre 13 mises à jour corrigeant 26 vulnérabilités dans Windows et Office. La faille importante d’Internet Explorer n’est pas comblée…

Comme prévu, le Patch Tuesday délivré par Microsoft pour le mois de février s’annonce corsé. Il déploie pas moins de 13 bulletins de sécurité chargés de combler 26 failles.

Cinq de ces failles sont considérées comme “critiques”, sept ont le niveau “importants” et une autre est qualifiée de “modérée”. Onze de ces bulletins concernent le système Windows, tandis que les deux restants sont dédiés à des anciennes versions de Microsoft Office.

Cinq de ces vulnérabilités critiques touchent  Windows 2000 et Windows XP. Et Windows 7 recense trois failles critiques.

Fait surprenant : aucun correctif déployé dans ce Patch Tuesday de février ne comble la faille importante découverte en ce début de mois dans Internet Explorer 6,7 et 8.

L’éditeur avait tout de même pris le soin de publier il y a quelques jours un bulletin d’alerte de sécurité pour avertir les utilisateurs de son navigateur. Cette absence laisse entendre qu’un correctif spécial pourrait être délivré hors du circuit mensuel du Patch Tuesday.

Autre possibilité : Microsoft pourrait tout simplement publier un bulletin correctif dédié à la vulnérabilité sous Internet Explorer dans sa prochaine notification, en mars prochain.

Les cinq failles critiquent affectant Windows (MS 10-006, 007, 008, 009 et 013) peuvent permettre l’exécution de code à distance par un pirate.

Le bulletin MS 10-006 indique que la faille peut permettre à un attaquant d’envoyer une réponse SMB spécialement conçue à une requête SMB établie par le client.

La mise à jour de sécurité MS 10-007 corrige la vulnérabilité en rectifiant la façon dont l’API ShellExecute valide des paramètres.  La vulnérabilité corrigée par le bulletin MS 10-008 peut permettre l’exécution de code à distance si un utilisateur affiche une page Web spécialement conçue qui instancierait un contrôle ActiveX à l’aide d’Internet Explorer.

La faille de sécurité patché par le MS 10-009 exploitait des paquets spécialement conçus qui étaient envoyés à un ordinateur sur lequel IPv6 est activé. Le bulletin MS 10-013 corrige une vulnérabilité signalée confidentiellement dans Microsoft DirectShow.

Les six bulletins de sécurité pour Windows, comblant des failles de sécurité qualifiées d’ « importantes » et de « modérées », pouvaient induire des dénis de service ou une élévation de privilèges si celle-ci étaient exécutées.

Les deux bulletins pour Office patchent des vulnérabilités « importantes » sous Microsoft Office XP Service Pack 3 et Microsoft Office 2003 Service Pack 3 pouvant permettre l’exécution de code à distance.

Lire aussi :