Patch Day: Microsoft corrige trois failles critiques

Comme prévu, ce sont trois bulletins de sécurité que publie Microsoft pour le mois de juillet.

Les trois patches disponibles corrigent dans tous les cas des vulnérabilités critiques, soit le plus haut niveau de dangerosité établi par la firme. Le premier comble la récente faille observée dans Internet Explorer dans le module Javaprxy.dll (voir nos articles) et corrigée à moitié avec un patch « provisoire ». La vulnérabilité peut permettre à un attaquant de prendre le contrôle intégral d’un système affecté. Internet Explorer 5 et 6 sont impactés. Le deuxième patch corrige une vulnérabilité dans le module de gestion des couleurs de Microsoft en raison de la manière dont il traite la validation des balises du format de profil ICC (buffer overflow). Elle peut permettre l’exécution de code à distance via un mail, une image ou un site piégé. Sur son site TechNet, Microsoft explique que cette faille a été récemment découverte et signalée confidentiellement. Windows 98, 2000, XP et Server sont concernés. La dernière rustine corrige un trou critique dans Word pouvant permettre la prise de contrôle à distance de la machine affecté. Là encore, il s’agit d’une faille signalée « confidentiellement » à Microsoft. L’éditeur donne peu de détails: le traitement des polices du célèbre traitement de texte serait en cause. Les versions 2000 et 2002 sont impactées et donc Office et Works Suite.