Une seule vulnérabilité en mai chez Microsoft

Pour une fois, le bulletin mensuel de sécurité de Microsoft ne contient pas une multitude de patchs pour se protéger de multiples failles plus dangereuses les unes que les autres.

Le bulletin du mois de mai (MS04-015) ne contient qu’un seul patch comblant une seule faille (contre 20 le mois dernier). Cette dernière est qualifiée d’importante par la firme. Elle affecte seulement Windows XP, XP SP1, XP Edition 64-Bit SP1, Windows XP Edition 64-Bit Version 2003, Windows 2003 Server et Windows 2003 Server Edition 64-Bit. La faille de sécurité est présente au niveau du centre d’aide et d’assistance Windows (Help and Support Center). Elle pourrait permettre à un attaquant l’exécution de code arbitraire sur des systèmes distants. Le centre d’aide et de support Windows ne valide pas correctement certaines URLs HCP. Un attaquant pourrait exploiter cette vulnérabilité afin de télécharger puis exécuter des fichiers malicieux sur une machine vulnérable (via la Mise à jour du décodeur de DVD), en incitant un utilisateur à visiter une page web ou à lire un email contenant un lien HCP spécifique. L’exploitation de cette faille exige néanmoins une interaction importante avec l’utilisateur. Le patch salvateur est disponible sur le site de Microsoft.