‘Patch day’ de Microsoft : 8 failles critiques dans Windows, Office, IE…

Le bulletin de sécurité mensuel de l’éditeur est pour le moins riche de correctifs

Quasiment toutes les applications vedettes et tous les systèmes d’exploitation de Microsoft sont à corriger, en raison de vulnérabilités décrites dans le bulletin de sécurité de février. Huit sont qualifiées de « critiques », treize ‘patchs’ sont disponibles au téléchargement (www.microsoft.com/france/securit). Bon courage!

Bulletin de sécurité MS05-009 Faille « critique » dans Windows Media Player 9 pour Windows XP, Windows 2000, ou Windows Server 2003, Windows XP Édition 64 bits SP1 exécutant Windows Messenger, Windows XP Édition 64 bits Version 2003 exécutant Windows Messenger, Windows Millennium Edition (Windows Me), Windows 98 Deuxième édition (SE), et Windows 98 Windows Messenger 4.7.2009 pour Windows XP SP1 et Windows XP, Windows Messenger 4.7.3000 pour Windows XP SP2; Windows Messenger 5.0 Le patch corrige une vulnérabilité dans le traitement PNG qui peut conduire à une saturation de mémoire tampon Bulletin de sécurité MS05-014 Internet Explorer a droit à un patch « cumulatif », ça veut tout dire… Faille « critique » dans Internet Explorer 6 SP1 pour Windows XP SP1, Windows XP, Windows 2000 SP4 ou SP3 Internet Explorer 6 SP1 pour Windows Me, Windows 98 SE, Windows 98 Internet Explorer 6 pour Windows XP SP1 (Édition 64 bits) Internet Explorer 6 pour Windows Server 2003 Internet Explorer 6 pour Windows Server 2003 Édition 64 bits et Windows XP Édition 64 bits Version 2003 Internet Explorer 6 pour Windows XP SP2 Internet Explorer 5.5 SP2 pour Windows Me Internet Explorer 5.01 SP4 pour Windows 2000 SP4 Internet Explorer 5.01 SP3 pour Windows 2000 SP3 Bulletin de sécurité MS05-005 Faille « critique » dans Office XP SP3 et SP2, Microsoft Project 2002, Microsoft Visio 2002, Microsoft Works Suite 2004, Microsoft Works Suite 2003, Microsoft Works Suite 2002, permettant le dépassement de la mémoire tampon Bulletin de sécurité MS05-010 Faille « critique » dans Windows NT Server 4.0 SP6a, Windows NT Server 4.0, Édition Terminal Server SP6, Windows 2000 Server SP4 et SP3, Windows Server 2003, Windows Server 2003 pour les systèmes Itanium 64 bits La vulnérabilité concerne le service License Logging et peut permettre l’exécution de code Bulletin de sécurité MS05-011 Faille « critique » dans Windows XP SP2 et SP1, Windows XP Édition 64 bits SP1 (Itanium), Windows XP Édition 64 bits Version 2003 (Itanium), Windows 2000 SP4 et SP3, Windows Server 2003, Windows Server 2003 pour les systèmes 64 bits (Itanium) Vulnérabilité dans Server Message Block qui peut permettre l’exécution de code à distance Bulletin de sécurité MS05-012 Faille « critique » dans Windows XP SP2 et SP1, Windows XP Édition 64 bits SP1 (Itanium), Windows XP Édition 64 bits Version 2003 (Itanium), Windows 2000 SP4 et SP3; Windows Server 2003; Windows Server 2003 pour les systèmes 64 bits (Itanium) impactant: Office XP Service Pack 3 (SP3), Office XP SP2, et Office XP, Exchange Server 2003 et Exchange Server 2003 SP1, Exchange Server 5.0 SP2, Exchange Server 5.5 SP4 Vulnérabilité dans OLE et COM permettant l’exécution de code à distance. Bulletin de sécurité MS05-013 Faille « critique » dans Windows XP SP2 et SP1, Windows XP Édition 64 bits SP1 (Itanium), Windows XP Édition 64 bits Version 2003 (Itanium), Windows 2000 SP4 et SP3, Windows Server 2003, Windows Server 2003 pour les systèmes 64 bits (Itanium), Windows Me, Windows 98 SE et Windows 98 La vulnérabilité dans le contrôle ActiveX d’édition DHTML peut permettre l’exécution de code. Bulletin de sécurité MS05-015 Faille « critique » dans Windows XP SP2 et SP1, Windows 2000 SP4 et SP3, Windows XP Édition 64 bits SP1 (Itanium), Windows XP Édition 64 bits Version 2003 (Itanium), Windows Server 2003, Windows Server 2003 pour les systèmes 64 bits (Itanium), Windows Me, Windows 98 SE et Windows 98 Vulnérabilité dans Hyperlink Object Library qui peut permettre l’exécution de code à distance. Bulletin de sécurité MS05-004 Faille « importante » dans Microsoft .NET Framework 1.1 (toutes les versions) au niveau de la gestion des répertoires par ASP.NET. Bulletin de sécurité MS05-006 Faille « modérée » dans Windows SharePoint Services pour Windows Server 2003. Elle pourrait permettre des attaques par usurpation de script et de contenu entre sites Bulletin de sécurité MS05-007 Faille « importante » dans Windows XP SP2 et SP1, Windows XP Édition 64 bits : SP1 (Itanium) permettant une divulgation d’informations Bulletin de sécurité MS05-008 Faille « importante » dans Windows XP SP2 et SP1, Windows XP Édition 64 bits SP1 (Itanium), Windows XP Édition 64 bits Version 2003 (Itanium), Windows 2000 SP4 et SP3, Windows Server 2003, Windows Server 2003 pour les systèmes 64 bits (Itanium) La vulnérabilité se situe dans le shell Windows et pourrait permettre l’exécution de code à distance. Pas de patchs poour Windows 98 et Me

Les deux anciens systèmes d’exploitation de l’éditeur sont impactés par de nombreuses failles. Mais point de correctif en ligne. Microsoft indique:

Les mises à jour pour Windows Me, Windows 98 SE, et Windows 98 seront disponibles dans le cadre du support technique étendu concernant les problèmes de sécurité critiques.