Microsoft : bulletins de sécurité de juillet 2010
Les derniers patchs pour Windows XP SP2
Comme chaque mois, Microsoft a mis en ligne ses bulletins de sécurité pour le mois de juillet. Au programme, des corrections pour Windows et office, trois des quatre bulletins étant critiques.
MS10-043 : Cette mise à jour de sécurité corrige une vulnérabilité révélée publiquement dans le pilote d'affichage canonique (cdd.dll). Il est possible que cette vulnérabilité puisse permettre l'exécution de code, mais une exécution de code est peu probable en raison de la randomisation de la mémoire. Dans la plupart des scénarios, il est beaucoup plus probable qu'un attaquant qui parviendrait à exploiter cette vulnérabilité puisse empêcher le système affecté de répondre et le forcer à redémarrer automatiquement.
MS10-044 : Cette mise à jour de sécurité corrige deux vulnérabilités dans des contrôles ActiveX de Microsoft Office Access. Ces vulnérabilités pourraient permettre l'exécution de code à distance si un utilisateur ouvrait un fichier Office spécialement conçu ou s'il affichait une page Web qui aurait instancié des contrôles ActiveX d'Access.
Comme d’habitude, les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.
Toutes ces mises à jour de sécurité sont disponibles sur Windows Update. Précision importante : plusieurs correctifs s’appliquent à Windows XP Service Pack 2. Il s’agit des derniers patchs qui seront fournis pour ce système. Comme nous l’indiquions plus tôt dans la semaine, cette version du système n’est désormais plus supportée par Microsoft. Solution : installer le Service Pack 3, qui lui aussi doit être présent dans Windows Update et donc proposé automatiquement.
Bulletins critiques
MS10-042 : Cette mise à jour de sécurité corrige une vulnérabilité révélée publiquement dans la fonction Centre d'aide et de support Windows fournie avec les éditions en cours de support de Windows XP et Windows Server 2003. Cette vulnérabilité pourrait permettre l'exécution de code à distance si un utilisateur affichait une page Web spécialement conçue à l'aide d'un navigateur Web ou cliquait sur un lien spécialement conçu dans un message électronique. La vulnérabilité ne peut pas être exploitée automatiquement par le biais des messages électroniques. Pour qu'une attaque aboutisse, il faut que l'utilisateur clique sur un lien faisant partie d'un message électronique.MS10-043 : Cette mise à jour de sécurité corrige une vulnérabilité révélée publiquement dans le pilote d'affichage canonique (cdd.dll). Il est possible que cette vulnérabilité puisse permettre l'exécution de code, mais une exécution de code est peu probable en raison de la randomisation de la mémoire. Dans la plupart des scénarios, il est beaucoup plus probable qu'un attaquant qui parviendrait à exploiter cette vulnérabilité puisse empêcher le système affecté de répondre et le forcer à redémarrer automatiquement.
MS10-044 : Cette mise à jour de sécurité corrige deux vulnérabilités dans des contrôles ActiveX de Microsoft Office Access. Ces vulnérabilités pourraient permettre l'exécution de code à distance si un utilisateur ouvrait un fichier Office spécialement conçu ou s'il affichait une page Web qui aurait instancié des contrôles ActiveX d'Access.
Bulletin important
MS10-045 : Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement. Cette vulnérabilité pourrait permettre l'exécution de code à distance si un utilisateur ouvrait une pièce jointe dans un message électronique spécialement conçu à l'aide d'une version affectée de Microsoft Office Outlook. Tout attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur.Comme d’habitude, les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.
Toutes ces mises à jour de sécurité sont disponibles sur Windows Update. Précision importante : plusieurs correctifs s’appliquent à Windows XP Service Pack 2. Il s’agit des derniers patchs qui seront fournis pour ce système. Comme nous l’indiquions plus tôt dans la semaine, cette version du système n’est désormais plus supportée par Microsoft. Solution : installer le Service Pack 3, qui lui aussi doit être présent dans Windows Update et donc proposé automatiquement.
Source :
Microsoft
Vincent Hermann
le 15 juillet 2010 à 10:30
(10 571
lectures)
Actualités et brèves relatives
- 13 / 07 / 2010 : Windows XP : le support du Service Pack 2 est terminé
- 01 / 07 / 2010 : Une faille critique non corrigée de XP provoque un flot d'attaques
- 04 / 06 / 2010 : Microsoft : 34 failles de sécurité seront corrigées mardi prochain
- 19 / 05 / 2010 : Microsoft : informer précisément les gouvernements sur les failles
- 14 / 04 / 2010 : Microsoft : bulletins de sécurité d'avril 2010
- 30 / 03 / 2010 : Mise à jour de sécurité exceptionnelle chez Microsoft
- 11 / 03 / 2010 : La récente faille 0-Day d’Internet Explorer déjà exploitée
- 10 / 03 / 2010 : Microsoft : nouvelle faille 0-day pour Internet Explorer 6 et 7
