Patch Day : Microsoft publie 4 bulletins dont deux critiques

Microsoft vient de publier ses bulletins de sécurité pour le mois de février. Un « petit » patch qui fait suite à un mois de janvier tout aussi frugal puisque la firme de Redmond n’avait proposé qu’une mise à jour (concernant le protocole SMB Server Message Block). La firme propose donc 4 bulletins dont 2 critiques.

Au sommaire donc, la mise à jour MS09-002 corrige deux vulnérabilités critiques dans Internet Explorer 7 qui pourraient permettre « l’exécution de code à distance si un utilisateur affichait une page Web spécialement conçue à l’aide d’Internet Explorer« . Microsoft remarque que les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d’impact que ceux qui possèdent des privilèges d’administrateur.

La mise à jour MS09-003 corrige deux vulnérabilités critiques dans Exchange Server. La première vulnérabilité pourrait permettre l’exécution de code à distance si un message au format TNEF (Transport Neutral Encapsulation Format) spécialement conçu était envoyé à Microsoft Exchange Server.

Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral du système affecté avec les privilèges du Compte de service Exchange Server. La seconde vulnérabilité pourrait permettre un déni de service si une commande MAPI spécialement conçue était envoyée à Microsoft Exchange Server.

Dans la catégorie des failles de nature « importantes », MS09-004 corrige une vulnérabilité dans SQL Server. Encore une fois, il s’agit d’une faille qui permettrait « l’exécution de code à distance si des utilisateurs non sûrs accédaient à un système affecté ou si une attaque par injection SQL se produisait sur un système affecté« . Une vulnérabilité qui épargnerait toutefois les systèmes exécutant SQL Server 7.0 Service Pack 4, SQL Server 2005 Service Pack 3 et SQL Server.

Enfin la MS09-005, corrige trois vulnérabilités dans Office Visio. Notamment une faille qui autorisait un attaquant à prendre le contrôle intégral du système affecté si un utilisateur ouvrait un fichier Visio spécialement conçu.

A noter que Windows 7 et Vista SP2 dans (leurs versions bêta) ne bénéficient pas de ces mises à jour de sécurité.