Bulletin de sécurité mensuel : en décembre, Microsoft corrige onze failles

Microsoft a réparé 11 failles de sécurité logicielles réparties en sept bulletins de sécurité publiés dans le cadre de son cycle de mises à jour mensuelles. Ces mises à jour incluent trois bulletins classés « critiques « et quatre bulletins classés « importants ». Si aucune des trois vulnérabilités critiques n’affectait directement le système d’exploitation Windows, deux d’entre elles concernaient des applications couramment utilisées par les utilisateurs particuliers et professionnels.

Un correctif concernant une vulnérabilité critique détectée sur le format de fichier Windows Media a été ajouté « à la dernière minute », explique un porte-parole. Un pirate pouvait exploiter cette vulnérabilité pour intégrer un fichier .asf ou .asx malveillant à l’intérieur d’une page Web ou d’un email et prendre ainsi le contrôle d’un système et exécuter du code à distance.

La mise à jour corrige également certaines vulnérabilités critiques décelées sur Internet Explorer. Les vulnérabilités dans le traitement des scripts sur IE6 pour Windows Server 2003 et Windows XP permettent aux pirates qui les exploitent d’exécuter du code arbitraire à distance.

Windows Media Player comme vecteur d’attaque

L’éditeur de solutions de sécurité Symantec a présenté la vulnérabilité Internet Explorer comme étant la plus critique et recommande par ailleurs d’installer le correctif de Windows Media Player le plus rapidement possible. « L’Internet Security Threat Report de Symantec indique que l’intégration d’applications traitant différents types de contenus, comme les lecteurs médias, fait des navigateurs un vecteur d’attaque viable pour de nombreuses vulnérabilités côté client » déclare Oliver Friedrichs, directeur de Symantec Security Response. « La publication de Microsoft ne fait que confirmer l’hypothèse que les vulnérabilités côté client constituent l’une des méthodes d’infection les plus efficaces et les mieux connues, c’est pourquoi nous invitons les utilisateurs à installer les correctifs sans attendre. »

Le troisième correctif critique concerne Visual Studio, l’outil de développement logiciel de Microsoft, qui était affecté d’une vulnérabilité permettant à un pirate de prendre le contrôle d’une machine grâce au composant WMI Object Broker ActiveX de Visual Studio.

La mise à jour comprend également quatre correctifs de moindre gravité classés comme « importants » dont trois concerne des vulnérabilités Windows. Les vulnérabilités des composants logiciels Simple Network Management Protocol et Remote Installation Service permettent l’exécution de code à distance. Microsoft a toutefois précisé qu’aucun de ces deux composants n’était installé par défaut sur les versions récentes de Windows et que, par conséquent, peu d’utilisateurs en seront affectés.

Le troisième correctif Windows concerne une vulnérabilité dans le traitement sous Windows des cas manifestes de fichiers corrompus, une vulnérabilité qui, si elle est exploitée, permet d’élever les droits utilisateur. Le quatrième correctif « important » est un patch de sécurité cumulé pour Outlook Express. Microsoft a ainsi corrigé une vulnérabilité au niveau du carnet d’adresses de son serveur de messagerie qui permettait à un pirate de prendre le contrôle d’un système et d’exécuter du code à distance.

Ainsi que nous l’avions annoncé, Microsoft n’a corrigé aucune des vulnérabilités actives détectées récemment sur Word. L’un de ses porte-paroles a assuré la semaine dernière à vnunet.com que Microsoft étudiait le problème et publierait probablement un correctif en dehors du cycle de mise à jour si cela s’avérait nécessaire.

(Traduction d’un article de Vnunet.dom du 12 décembre 2006.)