Patch Tuesday : Microsoft muscle ses bulletins de sécurité
Microsoft publie ce mois-ci un Patch Tuesday chargé, avec 11 bulletins de sécurité, donc 5 sont critiques, chargés de combler 25 vulnérabilités dans Windows, Windows Server, Office et Exchange Server.
Microsoft délivre pour ce mois d’avril un Patch Tuesday assez corsé, comprenant 11 bulletins de sécurité corrigeant 25 vulnérabilités détectées dans les OS Windows XP, Vista et Windows 7 ainsi que dans les systèmes Windows Server 2000 et 2008 R2, Office XP, 2003 et 2007, Microsoft Exchange Server 2000, 2003, 2007 et 2010.
Ce Patch Tuesday intègre ainsi cinq bulletins « critiques », cinq qualifiés d’ »importants » et un seul considéré comme modéré.
Concernant les cinq bulletins de sécurité « critiques », le bulletin MS10-019 corrige deux failles sous Windows affectant la vérification Authenticode, qui pourrait permettre de lancer à distance l’exécution par un pirate de codes malveillants.
Le patch MS10-020 concerne l’envoi d’une fausse réponse SMB à une requête. Là aussi, l’exécution de codes à distance par un attaquant est à craindre.
Le bulletin MS10-025 comble une vulnérabilité nichée dans Windows Media Services sous Windows Server 2000. La mise à jour MS10-026 patche une faille détectée dans les codecs audio Microsoft MPEG Layer-3. Ces deux failles permettent là encore l’exécution de codes malveillants à distance par un pirate.
Le bulletin de sécurité MS10-027 comble une vulnérabilité découverte dans le lecteur Windows Media, offrant la possibilité de prendre le contrôle de l’ordinateur à distance si Windows Media ouvre des contenus multimédia piégé hébergés sur un faux site.
Concernant les bulletins « importants », l’un d’entre eux corrige plusieurs failles instaurant une élévation des privilèges sous Windows. Le correctif MS10-022 comble une vulnérabilité dans VBScript sur Windows qui pourrait permettre l’exécution de code à distance.
Le bulletin MS10-023 corrige une faille sous Office Publisher, qui peut se déclencher à l’ouverture d’un document Publisher piégé. Le correctif MS10-024 corrige deux vulnérabilités dans Microsoft Exchange et le service SMTP Windows pouvant générer un déni de services en cas d’envoi d’une fausse réponse DNS sur un PC exécutant le service SMTP.
Le dernier bulletin MS10-028 comble des failles sous Office Visio, permettant à l’attaquant de s’approprier des droits utilisateur.
Comme d’habitude, les mises à jour de Microsoft sont téléchargeables depuis Windows Update.