Patch Tuesday : Microsoft corrige 8 failles critiques

Pierre Mangin,

Ce ‘patch Tuesday’ ne peut pas passer inaperçu. Sont notamment concernés Windows et Office

Pas moins de 8 failles classifiées comme « critiques » sont à corriger.

Pour autant, ce ‘patch Tuesday » ne se présente pas comme un record.

Microsoft a présenté quatre sous-ensembles ce septembre. Ils concernent Windows, Office, Windows Media Player, Internet Explorer 6, SQL Server et quelques autres programmes.

MS08-052: corrige 5 vulnérabilités dans Windows. Ce correctif semble être le plus critique. Il concerne notamment Windows. GDI+ (Graphics Device Interface) introduit avec Windows XP.

Ces vulnérabilités pourraient permettre l’exécution de code à distance si un utilisateur affichait un fichier image spécialement conçu à l’aide d’un des logiciels concernés ou parcourait un site Web au contenu spécialement conçu. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d’impact que ceux qui possèdent des privilèges d’administrateur.

– Deux autres correctifs, –MS08-053 et MS08-054 – sont moins sérieux

Le premier corrige une vulnérabilité signalée confidentiellement dans le Codeur Windows Media Série 9. Cette vulnérabilité pourrait permettre l’exécution de code à distance si un utilisateur affichait une page Web spécialement conçue. Si un utilisateur a ouvert une session avec des privilèges d’administrateur, un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral d’un système affecté.

Le deuxième corrige une vulnérabilité signalée confidentiellement dans le lecteur Windows Media qui pourrait permettre l’exécution de code à distance lorsqu’un fichier audio spécialement conçu est lu depuis un serveur Windows Media Server.

MS08-055 corrige une faille dans le ‘protocol handler’ OneNote d’Office.

Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement dans Microsoft Office. Cette vulnérabilité pourrait permettre l’exécution de code à distance si un utilisateur cliquait sur une URL OneNote spécialement conçue. Tout attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral du système affecté.