Microsoft Patch Tuesday : 2 bulletins en mars et nouvelle faille Internet Explorer zero day

Seuls Windows Movie Maker et Excel sont concernés par les bulletins de sécurité de mars. Mais une nouvelle faille, déjà exploité, toucher Internet Explorer 6 et 7.

Comme prévu, Microsoft a livré sa moisson mensuelle de correctifs de sécurité à l’occasion de son « Patch Tuesday ». Le mois de mars est pauvre avec « seulement » deux bulletins pour 15 correctifs. De plus, les vulnérabilités corrigées sont qualifiées d’« importantes », soit le deuxième niveau, après « critique », de dangerosité selon l’éditeur qui nous a habitué à des bulletins plus conséquents. On est loin des 33 failles d’octobre dernier.

Le premier (MS010-016) corrige une faille qui frappe Windows Movie Maker et Producer 2003. Bien exploitée, celle-ci permet l’exécution de code distant avec risque de prise de contrôle de la machine affectée selon les droits de l’utilisateur. Néanmoins, il faut que ce dernier se laisse convaincre d’ouvrir un fichier Movie Maker ou Producer spécialement conçu à des fins d’attaque. De plus la brèche a été rapportée de manière privée. Il n’existe a priori aucune tentative d’exploit publique. Microsoft précise que Live Movie Maker, la version du logiciel de montage vidéo livrée avec Windows Vista et 7, n’est pas affectée par la vulnérabilité. Il n’en reste pas moins que, selon la version de Movie Maker utilisée, l’ensemble de plates-formes de Microsoft restent concernées.

Le bulletin MS010-017 risque d’avoir un impact plus large que le précédent auprès des entreprises. Il concerne en effet l’application Office Excel dont il corrige pas moins de 7 failles, là-encore rapportées en toute confidentialité. Et là aussi, leur exploitation réussie (toujours à partir d’un document intentionnellement mal formé) peut mener à l’exécution de code à distance et prise de contrôle du poste visé, selon le niveau de privilège du compte utilisateur. Les versions 2002 SP3, 2003 SP3 et 2007 SP2 d’Office Excel pour Windows, ainsi que Office 2004 et 2008 pour Mac tout comme les clients de lecture Viewer sont concernées. Tout comme Sharepoint Server 2007 SP1 et SP2.

A l’heure où les premiers téléchargements des correctifs s’effectuent, Microsoft signale enquêter sur une nouvelle vulnérabilité qui touche les versions 6 et 7 d’Internet Explorer. Son exploitation ouvre la voix à l’exécution de code distant. IE 5.01 pour Windows 2000 SP4 et IE8 ne sont en revanche pas affectés. Plusieurs attaques ciblées ont déjà été constatées par l’éditeur. Un correctif sera proposé à l’occasion d’un prochain « Patch Tuesday » ou à l’occasion d’une mise à jour exceptionnelle si l’urgence s’impose.

En attendant, Microsoft n’a toujours pas comblé les trous de sécurité repéré dans le VBscript ni celui du SMB (Server message block), le protocole de partage de fichier et d’impression qui remonte à novembre 2009.