Microsoft publie 9 correctifs dont six jugés critiques

La firme de Redmond propose pour ce mois d’août 2007 9 bulletins de sécurité, dont six jugés critiques qui concernent principalement les applications Windows.

Cition par exemple des correctifs pour le lecteur multimédia Windows Media Player, le tableur Excel de Office 200 SP3, Internet Explorer (version XP et Vista) Microsoft Virtual PC et Virtual Server, Visual Basic, Office pour Mac et également des Gadgets pour Windows Vista.

6 bulletins « critiques »

D’abord le bulletin de sécurité Microsoft MS07-042 qui corrige une vulnérabilité dans Microsoft XML Core Services pourrait permettre l’exécution de code à distance. Ladite vulnérabilité pourrait être exploitée par le biais d’attaques sur Microsoft XML Core Services.

Le bulletin de sécurité Microsoft MS07-043 s’attaque lui à une vulnérabilité dans le service OLE Automation qui pourrait être exploitée par le biais d’attaques sur OLE (Object Linking and Embedding).

L’application Excel profite également d’un correctif (MS07-044) qui corrige une faille permettant l’exécution de code à distance.

Quatrième patch le MS07-045, qui corrige trois vulnérabilités signalées confidentiellement qui pourraient permettre l’exécution de code à distance si un utilisateur affichait une page Web spécialement conçue à l’aide d’Internet Explorer.

L’avant dernier bulletin « critique » MS07-046 rectifie une vulnérabilité dans GDI. Cette dernière pourrait permettre l’exécution de code à distance. D’aprés Redmond :« Il existe une vulnérabilité d’exécution de code à distance dans la façon dont le moteur de rendu graphique (GDI – Graphics Rendering Engine) traite les images spécialement conçues. »

Enfin, le dernier bulletin MS07-050 corrige une vulnérabilité dans le Vector Markup Language (VML) pourrait permettre l’exécution de code à distance. Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement liée à l’implémentation du Vector Markup Language (VML) dans Windows.

3 bulletins « importants »

La première publication concerne une vulnérabilité dans Windows Media. Le titre du bulletin est le MS07-047. Ces vulnérabilités pourraient permettre l’exécution de code si un utilisateur visionnait un fichier spécialement conçu dans le lecteur Windows Media.

La mise à jour MS07-048 s’attaque à des vulnérabilités dans les Gadgets pour Windows Vista. Si un utilisateur s’abonnait à un flux RSS malveillant dans le gadget Titres des flux ou ajoutait un fichier de contacts malveillant dans le gadget Contacts ou si un utilisateur cliquait sur un lien malveillant dans le gadget Météo, un attaquant pourrait potentiellement exécuter du code sur le système. Dans tous les vecteurs d’attaque, les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d’impact que ceux qui possèdent des privilèges d’administrateur.

Enfin ultime et dernier bulletin, Microsoft MS07-049, qui corrige une faille dans Virtual PC et Virtual Serveur. Cette dernière pourrait permettre une élévation de privilèges. La vulnérabilité dans Microsoft Virtual PC et Microsoft Virtual Server pourrait permettre à un utilisateur de système d’exploitation invité d’exécuter du code sur le système d’exploitation hôte ou sur d’autres systèmes d’exploitation invités.

Tous ces bulletins peuvent être téléchargés sur ce lien.