Microsoft : bulletins de sécurité du mois d'avril 2009

Comme chaque deuxième mardi de chaque mois (ou presque), Microsoft publie ses bulletins de sécurité. Huit sont présentés cette fois, dont cinq critiques, deux importants et un modéré. C'est l'occasion aussi pour l'éditeur de mettre à jour ses filtres de courrier indésirables pour Outlook et Windows Mail, ainsi que l'outil de suppression des logiciels malveillants.

Mises à jour critiques

• MS09-010 : Cette mise à jour de sécurité corrige deux vulnérabilités révélées publiquement et deux vulnérabilités signalées confidentiellement dans les convertisseurs de texte de Microsoft WordPad et Microsoft Office. Ces vulnérabilités pourraient permettre l'exécution de code à distance si un fichier spécialement conçu était ouvert dans WordPad ou dans Microsoft Office Word.
• MS09-013 : Cette mise à jour de sécurité corrige une vulnérabilité révélée publiquement et deux vulnérabilités signalées confidentiellement dans les services HTTP Windows (WinHTTP). La plus grave de ces vulnérabilités pourrait permettre l'exécution de code à distance. Tout attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral du système affecté.
• MS09-011 : Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement dans Microsoft DirectX. Cette vulnérabilité pourrait permettre l'exécution de code à distance si l'utilisateur ouvrait un fichier MJPEG spécialement conçu. Tout attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral du système affecté.
• MS09-014 : Cette mise à jour de sécurité corrige quatre vulnérabilités signalées confidentiellement et deux vulnérabilités révélées publiquement dans Internet Explorer. Ces vulnérabilités pourraient permettre l'exécution de code à distance si l'utilisateur consultait une page Web spécialement conçue à l'aide d'Internet Explorer ou si l'utilisateur se connectait au serveur d'un attaquant par le biais du protocole HTTP.
• MS09-009 : Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement et une vulnérabilité révélée publiquement. Ces vulnérabilités pourraient permettre l'exécution de code à distance si l'utilisateur ouvrait un fichier Excel spécialement conçu. Tout attaquant qui parviendrait à exploiter ces vulnérabilités pourrait prendre le contrôle intégral du système affecté.

Mises à jour importantes

• MS09-012 : Cette mise à jour de sécurité corrige quatre vulnérabilités révélées publiquement dans Microsoft Windows. Ces vulnérabilités pourraient permettre une élévation de privilèges si un attaquant pouvait ouvrir une session au système et exécuter une application spécialement conçue. Pour exploiter cette vulnérabilité, l'attaquant doit pouvoir exécuter du code sur l'ordinateur local.
• MS09-016 : Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement et une vulnérabilité révélée publiquement dans ISA Server et Forefront TMG-MBE. Ces vulnérabilités pourraient permettre un déni de service si un attaquant envoyait des paquets réseau spécialement conçus au système affecté ou la divulgation d'informations si l'utilisateur cliquait sur un lien malveillant ou visitait un site Web dont le contenu serait contrôlé par l'attaquant.

Mise à jour modérée

• MS09-015 : Cette mise à jour de sécurité corrige une vulnérabilité révélée publiquement dans la fonction SearchPath de Windows. Cette vulnérabilité pourrait permettre une élévation de privilèges si un utilisateur téléchargeait un fichier spécialement conçu à un emplacement spécifique, puis ouvrait une application capable de charger le fichier sous certaines conditions.

On remarquera ce mois-ci le nombre élevé de vulnérabilités qui ont été révélées publiquement. Cela signifie que les détails des failles concernées sont en circulation : le risque est donc plus important pour les produits touchés.

Sous Windows XP comme sous Vista, le plus simple est de laisser les mises à jour se présenter d'elles-mêmes. Pour ceux qui les auraient désactivées ou ne voudraient pas attendre, il faudra lancer Windows Update manuellement sous Vista (depuis le menu Démarrer) et Microsoft Update dans Internet Explorer sous Windows XP.

À noter que les utilisateurs de la bêta de Windows 7 n'auront que les éventuelles mises à jour liées à Office.

Source : Microsoft

Vincent Hermann le 15 avril 2009 à 09:46 (11 059 lectures)

Tweeter

• 11 / 03 / 2009 : Microsoft : bulletins de sécurité de mars 2009
• 11 / 02 / 2009 : Microsoft : bulletins de sécurité de février 2009
• 14 / 01 / 2009 : Microsoft : les bulletins de sécurité de janvier 2009
• 18 / 12 / 2008 : Microsoft corrige la récente faille critique d'Internet Explorer
• 15 / 12 / 2008 : Internet Explorer : une faille critique pour toutes les versions
• 10 / 12 / 2008 : Microsoft : bulletins de sécurité de décembre 2008
• 05 / 12 / 2008 : 98% des PC sous Windows ont au moins une faille non corrigée
• 12 / 11 / 2008 : Microsoft : bulletins de sécurité de novembre 2008

Actu Précédente Actu Suivante