Dans le cadre de sa politique de patches mensuels, Microsoft a publié une mise à jour de sécurité pour corriger différentes vulnérabilités de ses logiciels, notamment Windows et Office.
Les correctifs destinés à Internet Explorer, Windows Explorer et la fonction Microsoft Data Access Components (MDAC) ont été classés au niveau « critique » par l’éditeur, dans la mesure où ces failles pourraient permettre à un assaillant d’exécuter librement un code sur les systèmes d’exploitation des utilisateurs.
L’éditeur a indiqué dans un bulletin de sécurité publié sur son site que la vulnérabilité de MDAC, liée à sa technologie ActiveX, pourrait être utilisée par un pirate, via une page Web conçue à cet effet, pour prendre le contrôle d’un système sans interaction de l’utilisateur.
De la même manière, des personnes malintentionnées pourraient exploiter la faille affectant Windows Explorer en amenant des internautes à visiter un site Web particulier. Celui-ci obligerait alors le système à se connecter à un serveurs de fichiers distant, lequel causerait alors un plantage de l’Explorer permettant l’exécution d’un code arbitraire.
Dix failles corrigées dans Internet Explorer
Le patch pour Internet Explorer corrige quant à lui dix vulnérabilités dont le niveau de dangerosité varie de « critique » à « modéré ». Comme on s’y attendait, la mise à jour comprend un correctif pour la vulnérabilité de type « CreateTextRange » actuellement exploitée sur le Web (voir édition du 23 mars 2006), ainsi que deux autres failles découvertes ce mois-ci.
Cette mise à jour d’avril propose d’autre part un patch pour Outlook Express, exposé à une vulnérabilité susceptible d’autoriser une prise de contrôle du système. L’exploitation de cette faille nécessitant une interaction de l’utilisateur, le correctif est considéré comme « important » par Microsoft. Enfin, la cinquième et dernière rustine colmate une faille de Front Page permettant une attaque de type Cross Site Scripting.
(Traduction d’un article de VNUnet.com en date du 12 avril 2006)
Microsoft lance Phi-3-mini, un petit modèle de langage (SLM) qui s'adresse aux entreprises ne disposant…
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…