Patch Tuesday : Windows, Internet Explorer et Office au pilori

Cloud

Cinq vulnérabilités critiques et trois importantes pour le bulletin de sécurité d’avril de Microsoft.

Huit nouveaux bulletins viennent animer la mise à jour de sécurité mensuelle de Microsoft pour ce mois d’avril. Le ‘patch tuesday’ du mois comprend notamment cinq bulletins qualifiés de “critiques”, le niveau de dangerosité le plus élevé sur l’échelle de risques de l’éditeur.

Windows (2000 SP4, XP SP2, Server 2003 SP1 et 2008, Vista SP1, y compris les éditions 64 bits), Internet Explorer (de la 5.01 à la 7) et Office (Project et Vision) sont concernés par les mises à jour. Dans la plupart des cas, l’exploitation des vulnérabilités peut amener l’attaquant à pouvoir lancer du code à distance sur la machine affectée.

Un ActiveX Kill bit

Les plates-formes Windows sont concernés à travers de nombreux composant (client DNS, GDI, moteurs de script VBScript et JScript, ActiveX, et noyau Windows). Le bulletin MS08-023 introduit notamment une correction de l’ActiveX Kill bit pour le service Yahoo Music Jukebox qui, à partir d’une page web ou d’une image piégée, permet à l’attaquant de s’emparer du contrôle du PC.

Enfin, les applications Project et Visio sont également concernées à des niveaux critiques (Project 2000 SP1) et importants (Project 2002 SP1 et 2003 SP2, Visio 2002 à 2007). L’ouverture d’un fichier Project, Visio et .DXF peut permettre à un attaquant de bénéficier des droits de l’utilisateur local et opérer comme bon lui semble sur la machine.

Les mises à jour, comme toujours chaudement recommandées, sont disponibles à partir des services automatiques Windows et Office Update ou bien manuellement à partir de la page de résumé du bulletin mensuel.


Lire la biographie de l´auteur  Masquer la biographie de l´auteur