Microsoft corrige deux failles critiques

La Rédaction,

Le bulletin de janier concerne Windows, Outlook et Exchange

Outre le patch corrigeant la très critique faille WMF publié il y a quelques jours, Microsoft vient de diffuser son traditionnel bulletin de sécurité mensuel pour le mois de janvier.

Deux vulnérabilités qualifiées de critiques y sont présentées et corrigées. La première concerne Outlook 2000 et Exchange Server. Elle permet l’exécution de code à distance. Le problème résulte de la façon dont les deux applications décodent une pièce jointe MIME au format TNEF (Transport Neutral Encapsulation Format). Un attaquant pourrait exploiter cette vulnérabilité en créant un message TNEF spécialement conçu qui pourrait permettre l’exécution de code à distance lorsqu’un utilisateur ouvre ou affiche un message électronique malveillant ou lorsque la banque d’informations de Microsoft Exchange Server traite le message spécialement conçu. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral d’un système affecté. La seconde faille impacte Windows 2000 Service Pack 4, Windows XP SP1 et 2, XP Professionnel Édition x64, Windows Server 2003, Windows Server 2003 Édition x64, ainsi que Windows 98 et Me. Egalement qualifiée de « critique », elle permet à un attaquant distant de prendre le contrôle de la machine en injectant du code. Le problème se situe dans la manière dont Windows traite les polices incorporées mal formées. Un attaquant pourrait exploiter cette vulnérabilité en construisant une police Web incorporée malveillante qui pourrait permettre l’exécution de code à distance si un utilisateur visitait un site Web malveillant ou affichait un message électronique spécialement conçu. Microsoft allonge le support de ses patchs

Microsoft a indiqué qu’il prolongera de 10 à 15 jours le délai de disponibilité de ses mises à jour de sécurité pur ses clients. Traditionnellement, le support d’une mise à jour s’interrompt à la fin d’un trimestre calendaire, au 31 mars ou 30 juin par exemple. Et toujours avant la publication d’une mise à jour mensuelle, qui intervient désormais le deuxième jeudi du mois suivant. En prolongeant la disponibilité des mises à jours 10 à 15 jours, elles resteront disponibles pour les retardataires jusqu’au ‘Tuesday Patch Day‘ suivant. Une décision qui pour Microsoft apporte de la consistance et rend plus prévisible son programme ‘Support Lifecycle‘. Exchange Server 5.5 sera le premier produit de Microsoft à bénéficier de cette amélioration. Tous les logiciels de Microsoft profiteront de cette facilité.