‘Patch day’ : 15 ‘bugs’ dans Windows, I.E. et Outlook Express

Sur les 6 correctifs à effectuer, 4 sont considérés comme « critiques »

La livraison des ‘patchs’ pour ce mois de juin ne passera pas inaperçue. D’autant plus que les experts divergent sur la « criticité » de cette nouvelle fournée de correctifs.

Comme prévu, six correctifs sont fournis dans cette livraison. Ils corrigent 15 vulnérabilités, dont 9 qualifiées de « critiques ».

Selon certains spécialistes en sécurité, les ‘patchs’ les plus urgents à appliquer seraient les MS07-031 et MS07-035. Ces deux correctifs corrigent des failles au coeur du système Windows, failles qui peuvent être exploitées sans recourir à aucune module logiciel extérieur.

Le correctif MS07-031 serait tout particulièrement critique, affirment certains, car il pourrait permettre à des pirates, en particulier des as du ‘phishing‘ (ou hameçonnage) de berner les utilisateurs et d’inoculer des vers ou virus sur leur machine.

Les six correctifs :

Niveau critique (exécution de code à distance)

MS07-031 : une vulnérabilité dans le package de sécurité Windows Schannel pourrait permettre l’exécution de code à distance. Le correctif concerne un bug dans Windows 2000, XP et Server 2003. Exploité, il laisse le serveur donner l’apparence d’un site sécurisé. Windows Vista n’est pas impacté.

MS07-033 : mise à jour de sécurité cumulative qui corrige six bugs dans Internet Explorer 6 et 7. La version 7 pour Vista et XP est concernée.

MS07-034 : cette mise à jour de sécurité cumulative pour Outlook Express et Windows Mail concerne Windows XP et Windows Server 2003, ainsi que Windows Vista. Une menace déclarée faible.

MS07-035 : une vulnérabilité dans l’API Win32 pourrait permettre l’exécution de code à distance. Vista n’est pas impacté.

Niveau important

MS07-030 : deux vulnérabilités dans Microsoft Visio, l’outil de schémas professionnels et techniques de Microsoft, pourraient permettre l’exécution de code à distance. Visio 2002 et 2003 sont concernés, mais pas Microsoft Office Visio 2007.

Niveau Modéré

MS07-032 : ce correctif est ‘historique’? Pour la première fois, un patch corrige exclusivement une faille dans Windows Vista, le nouveau système d’exploitation de Microsoft. Certes il représente une menace faible – une vulnérabilité qui pourrait entraîner la divulgation d’informations – mais dans le même temps c’est la première fois que le code de Vista est pris en défaut. Jusqu’à présent les menaces qui pesaient sur Vista ne concernaient que la réutilisation de code issu des précédentes versions de l’OS.

Comme d’habitude, la mise à jour peut se faire automatiquement à partir de Windows Update ou en se rendant sur le site de Microsoft.