Patch Day : Microsoft publie 11 correctifs

Windows, Internet Explorer, Office et Active Directory se voient patcher. Dans l’ordre, les correctifs proposés au téléchargement sont les suivants. Le premier bulletin critique est le MS08007, il porte sur une vulnérabilité dans le mini-redirecteur WebDAV. Cette faille si elle n’est pas corrigée permettrait l’exécution de code à distance.

Le second correctif critique, détaillé dans le bulletin MS08-008, corrige une vulnérabilité dans OLE Automation. Cette mise à jour de sécurité de niveau « critique » corrige une vulnérabilité signalée confidentiellement. Cette faille permettrait l’exécution de code à distance si un utilisateur affichait une page Web spécialement conçue. Elle pourrait être exploitée par le biais d’attaques sur OLE Automation

Troisième patch, le bulletin de sécurité Microsoft MS08-009. Ce correctif corrige une vulnérabilité dans Microsoft Word. Ce bug est exploitable à distance par l’exécution de code à distance si un utilisateur ouvre un fichier Word spécialement conçu. Tout attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral du système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges.

Le bulletin de sécurité Microsoft MS08-010 est une mise à jour de sécurité cumulative pour Internet Explorer . Cette MAJ de sécurité de niveau « critique » corrige trois vulnérabilités signalées confidentiellement et une vulnérabilité révélée publiquement. La vulnérabilité dont l’impact est le plus élevé permettrait l’exécution de code à distance si un utilisateur affichait une page Web spécialement conçue en utilisant Internet Explorer.

Le correctif Microsoft MS08-012, porte-lui sur la solution Office Publisher, il corrige plusieurs vulnérabilités. Si un utilisateur ouvrait un fichier Publisher spécialement conçu, il pouvait être attaqué à distance.

Enfin, le dernier bulletin critique publié par Microsoft est le MS08-013. Ce dernier corrige une vulnérabilité dans Microsoft Office. Cette vulnérabilité permettrait l’exécution de code à distance si un utilisateur ouvre un fichier Microsoft Office spécialement conçu contenant un objet mal formé. Tout attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral du système affecté.

5 correctifs importants

Active Directory est aussi au menu de cet important « patch day ». Le bulletin qui le concerne est le MS08-003. Il corrige une faille qui pourrait occasionner un déni de service. Cette mise à jour de sécurité de niveau « important » corrige une vulnérabilité signalée confidentiellement et liée aux implémentations d’Active Directory sur Microsoft Windows Server 2000 et Windows Server 2003 et Active Directory en mode application (ADAM) lorsqu’il est installé sur Windows XP Professionnel et Windows Server 2003.

Le bulletin MS08-004 concerne une vulnérabilité dans Windows TCP/IP liée au traitement du protocole TCP/IP. Un attaquant qui réussirait à exploiter cette vulnérabilité pourrait empêcher le système affecté de répondre et pourrait le forcer à redémarrer automatiquement.

Troisième publication importante, le MS08-005 qui corrige une vulnérabilité dans Microsoft Internet Information Services (IIS) pourrait permettre une élévation de privilèges.

Le bulletin de sécurité Microsoft MS08-006 s’attaque lui aussi à une faille dans Microsoft Internet Information Services. Selon Microsoft il existe une vulnérabilité d’exécution de code à distance liée à la façon dont IIS traite les entrées de données dans les pages Web ASP.

Enfin, cinquième et dernier patch de la journée, le bulletin de sécurité Microsoft MS08-01. Il corrige plusieurs vulnérabilités dans le convertisseur de fichiers Microsoft Works. Ces vulnérabilités pourraient permettre l’exécution de code à distance lorsqu’un utilisateur ouvre un fichier Works (.wps) spécialement conçu avec une version concernée de Microsoft Office, Microsoft Works ou Microsoft Works Suite.

Ces bulletins de sécurité peuvent être téléchargés sur cette page Web.