‘Patch Day’ de juillet: 7 correctifs, Excel colmaté

Le bulletin mensuel de Microsoft inclut 5 correctifs critiques et deux importants

Après la découverte récente de failles dans Excel, le tableur star de Microsoft (et donc par ricochet Office), les utilisateurs attendaient avec impatience le bulletin mensuel de sécurité de l’éditeur.

Ils ne seront pas déçus puisque les vulnérabilités en question sont corrigées. Ainsi que d’autres failles, notamment dans le service Serveur et dans le client DHCP. Correctifs critiques MS06-035: deux vulnérabilités dans le service Serveur ont été découvertes, la plus sérieuse pourrait permettre l’exécution de code à distance. Windows 2000, XP et Server sont concernés. MS06-036: une vulnérabilité dans le service Client DHCP pourrait permettre l’exécution de code à distance. Windows 2000, XP et Server sont concernés. MS06-037: cette mise à jour résout plusieurs vulnérabilités dans Excel, dont la plus sérieuse pourrait permettre l’exécution de code à distance. Excel 2000, 2002 et 2003 pour PC et Mac sont impactés. MS06-038: Cette mise à jour résout deux vulnérabilités dans Office, dont la plus sérieuse pourrait permettre l’exécution de code à distance. Office 2000, 2003 et 2004 (Mac) sont concernés. Ainsi que Project, Visio, Works, Visual Studio. MS06-039: Cette mise à jour résout deux vulnérabilités dans Office, dont la plus sérieuse pourrait permettre l’exécution de code à distance. Office 2000, 2003 sont concernés. Ainsi que Project, Visio, Works, Visual Studio. Correctifs Importants MS06-033: une vulnérabilité dans ASP.NET pourrait entraîner la divulgation d’informations. Microsoft précise que cette vulnérabilité pourrait permettre à un attaquant de contourner la sécurité ASP.Net et d’accéder de façon non autorisée aux objets du Dossier d’application de manière explicite en fonction de leur nom. Cette vulnérabilité ne permet pas à un attaquant d’exécuter un code ou d’élever directement ses privilèges, mais elle pourrait servir à obtenir des informations importantes susceptibles de donner à l’attaquant les moyens de compromettre davantage le système affecté. Windows, .NET Framework 2.0 sont concernés. MS06-034: une vulnérabilité dans Microsoft Internet Information Services (IIS) utilisant Active Server Pages pourrait permettre l’exécution de code à distance. L’attaquant doit disposer d’informations d’identification valides. Toutefois, si un serveur a été configuré pour permettre aux utilisateurs, anonymes ou authentifiés, de charger du contenu Web, tel que des pages ASP sur les sites Web, ce serveur risquerait d’être vulnérable. ISS 5.0, 5.1 et 6.0 pour Windows 2000, XP et Server sont impactés. Les mises à jour se font par les canaux habituels: via Windows Update ou directement sur le site de Microsoft.