Microsoft corrige 11 failles dans son bulletin de décembre

Les deux vulnérabilités dans Word, déjà exploitées, ne sont pas au menu

Comme chaque deuxième mardi du mois, Microsoft diffuse son bulletin de sécurité. La livraison de décembre comporte 7 correctifs, corrigeant 11 vulnérabilités. Trois sont qualifiés de critiques, quatre d’importants. Comme prévu, les deux trous dans Word, allègrement exploités sur la Toile, ne font pas partie du menu mensuel. Patience et méfiance avec les documents d’origine douteuse.

Correctifs critiques:

MS06-072 : Mise à jour cumulative pour Internet Explorer. Cette mise à jour corrige plusieurs vulnérabilités dans Internet Explorer qui pourraient permettre l’exécution de code à distance. Windows 2000 Service Pack 4, Windows XP Service Pack 2, Windows XP x64, et les éditions x86, x64 et Itanium de Windows 2003 Server, avec ou sans Service Pack 1 sont concernés.

MS06-073 : Visual Studio 2005. Une faille pourrait permettre l’exécution de code à distance.

MS06-078 : Windows Media Player. Cette mise à jour corrige une vulnérabilité dans le lecteur Windows Media (v7.1 à 9.5) qui pourrait permettre l’exécution de code à distance.

Correctifs importants :

MS06-074 : service SNMP. Cette mise à jour corrige une vulnérabilité dans le service SNMP (Simple Network Management Protocol) qui pourrait permettre l’exécution de code à distance. Le service SNMP n’est installé par défaut dans aucune des versions de Windows prises en charge. Windows 2000 Service Pack 4, Windows XP Service Pack 2, Windows XP x64, et les éditions x86, x64 et Itanium de Windows 2003 Server, avec ou sans Service Pack 1 sont concernés si le service est installé.

MS06-075 : Windows. Une vulnérabilité dans Windows pourrait permettre une élévation de privilèges sur un système affecté. Pour exploiter cette vulnérabilité, l’attaquant doit disposer d’informations d’identification valides pour ouvrir une session en local. Windows XP Service Pack 2, Windows 2003 Server x86 et Itanium sont concernés.

MS06-076 : Outlook Express. Cette mise à jour corrige une vulnérabilité dans Outlook Express qui pourrait permettre l’exécution de code à distance. L’exploitation de cette vulnérabilité nécessite une interaction avec l’utilisateur. Windows 2000 Service Pack 4, Windows XP Service Pack 2, Windows XP x64, et les éditions x86, x64 et Itanium de Windows 2003 Server, avec ou sans Service Pack 1 sont concernés.

MS06-077 : RIS. Cette mise à jour résout une vulnérabilité dans le Service d’installation à distance (Remote Installation Service – RIS) qui pourrait permettre l’exécution de code à distance dans Windows 2000 SP4. RIS n’est pas installé par défaut.