Sécurité : 19 correctifs chez Microsoft, 6 chez Apple

Les neuf bulletins mensuels de sécurité de Microsoft concernent essentiellement la plate-forme Windows. Apple introduit Safari 4.0.3 pour combler les failles du navigateur, tant pour Mac OS que pour Windows.

Comme tous les deuxième mardis du mois (ou presque), Microsoft a déployé son lot de correctifs de sécurité mensuel. Comme annoncé vendredi dernier, le « patch tuesday » du mois d’août comporte neuf bulletins de sécurité. Rappelons que cinq de ses bulletins sont qualifiés du niveau « critique » et quatre « important ». Pour la plupart, elles permettent à un attaquant de prendre le contrôle distant de la machine affectée. Au total, 19 vulnérabilités sont corrigées ce mois-ci.

Sur les neuf mises à jour proposées, huit concernent la plate-forme Windows. La dernière affecte les composants Web de la suite Office (Office Web Components). L’équipe du MSRC (The Microsoft Response Center) attire notamment l’attention sur le bulletin MS09-037. Celui-ci corrige cinq failles de l’Active Template Library (ATL) dont une liée aux contrôles Active X vidéo. Une vulnérabilité que Microsoft avait dû corriger dans l’urgence (avec le bulletin MS09-032) pour prévenir les tentatives d’attaques alors constatées. Le correctif du mois est donc une mise à jour du précédent patch que Microsoft invite à installer au plus vite.

Autre bulletin à appliquer en priorité aux yeux du MSRC, le MS09-043. Celui-ci corrige les brèches qui affectent les composants web d’Office. « Nous encourageons fortement les clients concernés à examiner et déployer ce bulletin dans la mesure où nous avons constaté l’exploitation en cours [de la vulnérabilité] », prévient l’équipe de Microsoft.

Comme habituellement, les mises à jour, très recommandées, peuvent s’effectuer automatiquement (depuis les services de mise à jour automatique de Windows) ou manuellement par application de chaque bulletin selon les priorités sécuritaires de l’entreprise.

Trois failles de sécurité dans WebKit

Microsoft n’est pas le seul à livrer son lot de correctifs. Apple aussi. Quelques jours après avoir livré Mac OS X 10.5.8, l’entreprise de Cupertino corrigent six vulnérabilités qui affectent son navigateur Safari tant pour les environnements Mac OS que Windows XP et Vista. Selon Apple, l’exploitation de ses défauts de programmation peuvent autoriser l’exécution de code distant sur la machine affectée. La version 4.0.3 du navigateur corrige l’ensemble de ses problèmes.

Sur les six failles de sécurité, quatre concernent Mac OS X (depuis la 10.4.11). L’environnement Windows est affecté pour l’ensemble des correctifs. D’autre part, trois correctif concerne le moteur de rendu WebKit, un logiciel libre égalemment exploité par le navigateur Google Chrome. Mais on ignore dans quelle mesure celui-ci est affecté par les failles de WebKit. En attendant, la mise à jour vers Safari 4.0.3 est très recommandée, tant pour les utilisateurs Windows que Mac OS.