Un bulletin de sécurité léger pour la rentrée sécuritaire de Microsoft
Le « patch tuesday » de septembre recense seulement quatre vulnérabilités dont
une critique.
Le patch tuesday du 11 septembre 2007 (un pur hasard du calendrier puisque Microsoft édite son bulletin chaque deuxième mardi du mois) devrait être plus facilement digérable que les 14 vulnérabilités corrigées du mois d’août. Sur les 4 brèches de sécurité de septembre, une seule est jugée « critique » par Microsoft. Les trois autres n’en étant pas moins classées « importantes ». Et pour cause! Leur exploitation permet, pour deux d’entre elles, l’exécution distante de code sur la machine victime. Une frontière ténue avec le niveau « critique ».
La faille critique (MS07-051) concerne uniquement Windows 2000 Service Pack 4. La vulnérabilité est liée à Microsoft Agent et autorise, en cas d’exploitation, l’exécution de code distant. Selon l’éditeur, Windows XP et Vista sont donc épargnés par la brèche de sécurité.
Windows Messenger affecté
Le bulletin MS07-052 se rapporte à Crystal Report de Visual Studio. La vulnérabilité permet là aussi l’exécution à distance de code que l’utilisateur aura intérêt à considérer comme malveillant. Seules les versions .Net 2002 SP1, 2003, 2003 SP1, 2005 et 2005 SP1 de Visual Studio sont concernées. Autre risque d’exécution de code distant à travers Windows Messenger cette fois, comme le décrit le bulletin MS07-054. Pour éviter tout risque, la solution la plus simple consiste à installer la version la plus récente du client de messagerie instantanée, à savoir Messenger 8.1 (ou la bêta 2 de la 8.5).
La dernière vulnérabilité « importante » détaillée dans le bulletin MS07-053 concerne les services Windows pour Unix (3 et 3.5). Son exploitation permet une élévation des privilèges. Windows 2000 SP4, XP SP2, Server 2003 SP1 et SP2, Vista ainsi que les versions 64 bits sont touchées.
Comme habituellement, les mises à jour se feront automatiquement par les services Windows Update et Microsoft Update, ou à la carte à partir du site Microsoft TechNet. A noter que le bulletin de septembre comprend également une mise à jour de Windows Malicious Software Removal Tool, l’outil de détection des agents malveillants de Microsoft.