Patch Tuesday Microsoft : 6 bulletins, dont 4 critiques

Arnaud Dimberton,

Le patch Tuesday mensuel accompagné de son traditionnel lot de correctifs, est disponible . Quatre de ces bulletins sont jugés critiques par l’éditeur.

Ces mises à jour concernent aussi bien Vista (dans trois bulletins dont deux critiques) que XP.Globalement les correctifs s’appliquent à des vulnérabilités dans Office Word 2000, Windows, Internet Explorer 6 et 7, Outlook Express, Windows Mail et Office SharePoint Server 2007.

Le premier bulletin de sécurité MS07-055 corrige une vulnérabilité dans l’Afficheur d’images Kodak. Cette rustine « critique » corrige une vulnérabilité signalée confidentiellement. Il existe une vulnérabilité d’exécution de code à distance dans la façon dont l’afficheur d’images Kodak, anciennement appelé afficheur d’images Wang, traite les fichiers image spécialement conçus.

Le deuxième correctif critique est le MS07-056. Il s’agit d’une mise à jour de sécurité pour Outlook Express et Windows Mail. Elle corrige une vulnérabilité signalée confidentiellement. La vulnérabilité permettrait l’exécution de code à distance en raison du traitement incorrect d’une réponse NNTP mal formée.

Troisième élément correctif proposé par Redmond, le bulletin de sécurité Microsoft MS07-057 qui est une mise à jour de sécurité cumulative pour Internet Explorer (939653). Concrétement elle résout trois vulnérabilités signalées confidentiellement et une vulnérabilité révélée publiquement.

Enfin dernier patch « critique », le bulletin MS07-060 qui s’attaque à une vulnérabilité dans Microsoft Word pourrait permettre l’exécution de code à distance . Cette dernière permettrait l’exécution de code à distance si un utilisateur ouvre un fichier Word spécialement conçu avec une chaîne de caractères mal formée.

Deux bulletins jugés importants

Microsoft MS07-058 qui concerne une vulnérabilité dans RPC qui permettrait un déni de service . Cette mise à jour de sécurité de niveau « important » corrige une vulnérabilité signalée confidentiellement. Une vulnérabilité de déni de service existe dans la fonction d’appel de procédure distante (RPC) liée à une défaillance de communication avec le fournisseur de services de sécurité NTLM lors de l’exécution de l’authentification de requêtes RPC.

Pour conclure, Microsoft propose un dernier correctif, MS07-059. Il procède à la correction d’une vulnérabilité dans Windows SharePoint Services 3.0 et Office SharePoint Server 2007 pourrait entraîner une élévation de privilèges dans le site SharePoint (942017). Cette mise à jour de sécurité résout une vulnérabilité signalée publiquement dans Microsoft Windows SharePoint Services 3.0 et Microsoft Office SharePoint Server 2007. La vulnérabilité pourrait permettre à un attaquant d’exécuter du script arbitraire, ce qui pourrait entraîner une élévation de privilèges dans le site SharePoint, par opposition à une élévation de privilèges dans l’environnement du poste de travail ou du serveur.

Ces correctifs sont téléchargeables depuis ce lien.