Microsoft publie son patch de sécurité mensuel

Yves Grandontagne,

Microsoft a mis en ligne ses mises à jour mensuelles et lance une alerte sur une faille de sécurité Windows dans le composant DirectPlay4

C’est parti pour la mise à jour mensuelle des environnements Microsoft (MS04-016). L’éditeur conseille bien entendu à ses clients de télécharger ce patch destiné aux systèmes d’exploitation Windows 2000 (SP 2 à 4), Windows XP versions 32 et 64 bits, ainsi qu’à Windows Server 2003. Par contre, Windows NT 4.0 n’est pas affecté.

Dans le même temps, Microsoft corrige deux failles. Signe d’une accalmie sur le front des faiblesses des systèmes du premier éditeur mondial ? Faille sur Crystal Reports La première faille n’est pas directement imputable à Microsoft, puisqu’elle concerne les solutions de ‘reporting‘ Crystal Reports et Crystal Enterprise de Business Objetcs. Cette faille permet à distance d’effacer des fichiers en utilisant l’interface Web de Crystal Reports ou Crystal Enterprise. Crystal Reports est présent sur de nombreux sites motorisés par Microsoft, souvent employé en frontal de reporting. C’est pourquoi la mise à jour figure sur le patch, et concerne plus particulièrement Visual Studio .NET et Outlook 2003 avec Business Contact Manager, mais aussi Microsoft Business Solutions CRM 1.2. Faille sur le protocole DirectPlay La seconde faille touche un public plus large, puisqu’elle concerne DirectPlay 4, l’une des trois interfaces de programmation de Microsoft DirectPlay. Cette interface participe au protocole qui fournit des services réseaux basés sur TCP/IP et sur IPX. C’est-à-dire que la faille concerne surtout les joueurs en ligne, car DirectPlay supporte les jeux multijoueurs. Dans cette configuration, la faille affecte plus particulièrement les composants DirectX 7.x, 8.x et 9.x, alors que les versions 5 et 6 ne sont pas touchées. La faille peut aboutir à une attaque par déni de service, mais représente un risque jugé modéré, car elle est particulièrement difficile à exploiter, et peut être facilement évitée par l’application du patch, bien sur, mais aussi en apportant quelques changements de configuration, par exemple. En tous cas, c’est une bonne surprise qui nous est réservée par Microsoft, avec deux failles corrigées, ce qui nous change après les 20 failles critiques corrigées en avril dernier ! La mise à jour est à télécharger sur les sites de Microsoft. https://www.microsoft.com/security/bulletins/200406_windows.mspx