Patch Day: Microsoft corrige 8 failles

La Rédaction,

Les huit vulnérabilités, dont six critiques, touchent Windows, Explorer, Office, Messenger et Exchange

Comme prévu, ce sont huit ‘patchs’ de sécurité que Microsoft vient de mettre en ligne. Une livraison très attendue. Car rien n’avait été présenté en mars, comme si les produits n’avaient plus rien à se reprocher.

On compte pas moins de quatre rustines pour Windows dont deux sont qualifiées de « critiques » et une d' »importante ». Les OS impactés sont Windows 2000, Windows XP (dont le SP2), Windows 64 bits, Windows Server. Les correctifs protègent des attaques à distance, des attaques par déni de services et interdisent l’exécution de codes. A noter qu’un des ‘patchs’ corrige une vulnérabilité dans le noyau Windows, répondant ainsi à la menace des ‘rootkits’ (lire notre article). Internet Explorer (5 et 6) reçoit comme chaque mois son « patch cumulatif » visant à fixer trois failles « critiques » dans le navigateur de Microsoft. Du côté d’Office, le ‘patch’ corrige une vulnérabilité « critique » dans Word (2002, 2003, 2004) qui permettait l’exécution de code à distance. Même chose dans Exchange 2000 et 2003. Enfin, Microsoft corrige la célèbre faille « critique » dans MSN Messenger 6.2 permettant d’infecter un système via l’envoi d’une image GIF. Et l’éditeur en profite pour inciter le chaland à migrer immédiatement vers la toute fraîche 7.0, « tellement plus mieux »!… La liste des bulletins et les ‘patchs’: https://www.microsoft.com/france/securite/default.mspx Attention au faux site de mises à jour

Sophos a identifié une campagne de spam qui incite les destinataires à se connecter à un site Web se faisant passer pour le site officiel de Microsoft pour les correctifs de sécurité critiques. En réalité, en croyant télécharger une de ces mises à jour, l’utilisateur est infecté par le cheval de Troie DSNX-05, qui permet aux pirates d’en prendre le contrôle à distance. Ces mails se prétendent envoyés par ″Windows Update » (update@microsoft.com) et incluent des lignes d’objet telles que « Update your windows machine », ″Urgent Windows Update″ et « Important Windows Update″. Pour rappel, jamais Microsoft n’envoie de mails pour effectuer des mises à jour.