Bulletins de sécurité Microsoft de février 2007

En ce 14 février, les administrateurs système du monde entier sont certainement plus préoccupés par les derniers bulletins de sécurité de Microsoft que par la Saint Valentin. Ces derniers sont au nombre de douze ce qui est trois fois plus que le mois dernier. Vingt vulnérabilités au total dont treize qui affectent de manière critique au moins une des versions supportées de Microsoft Windows, Office ou Internet Explorer, sont corrigées via ces bulletins. Six de ces brèches ont été utilisés précédemment dans des attaques 0day.

Une vulnérabilité seulement affecte le nouvel OS Windows Vista et cette dernière est indirecte : une faille dans Microsoft Malware Protection Engine utilisée dans Windows Defender de Vista peut amener à l’exécution d’un code à distance. Aucun des bugs critiques de Microsoft Office n’affecte Office 2007. En revanche, les utilisateurs d’Office 2000 et plus particulièrement Word 2000 sont concernés par la mise à jour de sécurité avec un total de cinq vulnérabilités critiques corrigées. Quatre d’entre elles ont été divulguées précédemment et exploitées dans la nature par des attaquants. Deux autres vulnérabilités dans Office ont été patchées, une dans Power Point, et une dans Excel. Elles sont toutes deux considérées comme critiques pour les versions 2000, et importantes pour toutes les autres versions d’Office excepté pour 2007 qui reste intouché.

Un autre bulletin corrige trois failles critiques d’Internet Explorer pour les versions 5.01 SP4 et 6 SP1 pour Windows 2000 SP4, ainsi que IE6 pour Windows XP SP2. Pour ce qui est des deux derniers bulletins, l’un affecte Microsoft Data Access Components et a été évalué comme important étant donné que la vulnérabilité pouvait être exploitée via Internet Explorer, et a été dévoilée au public. L’autre bulletin critique ferme une brèche dans le contrôle ActiveX de l’aide HTML.

Parmi les six bulletins considérés comme importants, quatre d’entre eux pouvaient conduire à des codes d’exécution à distance, et deux pouvaient être utilisés par des attaquants pour bénéficier de droits privilégiés dans le système. Ils concernent des problèmes dans Microsoft Step-by-Step Interactive Training, Windows Shell, Image Acquisition Service, OLE Dialog, Microsoft Foundation Class library et la fonction RichEdit.

Nous recommandons fortement aux utilisateurs d’installer ces mises à jour de sécurité le plus rapidement possible via Windows Update ou en téléchargeant les patchs manuellement depuis Microsoft TechNet.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *