Bulletin d’octobre : Microsoft corrige neuf vulnérabilités
L’éditeur corrige le tir raté du mois dernier et colmate neuf trous de sécurité, dont trois critiques.
Après avoir annulé la diffusion des correctifs de sécurité du mois dernier (voir édition du 12 septembre), Microsoft revient à la charge avec pas moins de neuf mises à jour dans le cadre de son bulletin d’octobre mis en ligne le 11 octobre au soir (bulletins MS05-44 à MS05-52). Sur les neuf correctifs proposés, trois sont jugés « critiques », quatre « importants » et deux « modérés ».
Les trois failles critiques permettent à des individus malintentionnés de prendre le contrôle à distance de la machine affectée. Elles concernent plusieurs applications et services de Windows : DirectX (DirectShow), MSDC, COM+ et, inévitablement, Internet Explorer. Les failles « importantes » touchent la norme Plug’n Play, le composant de travail collaboratif Collaboration Data Objects (CDO) sous Exchange Server, Windows Shell et le client de services NetWare (Novell).
Bien que ces dernières failles permettent d’exécuter du code à distance sur les ordinateurs non mis à jour, Microsoft en limite la dangerosité au niveau « important » et non pas « critique » car leur exploitation requiert, selon les cas, les privilèges administrateurs, l’intervention (involontaire) de l’utilisateur ou encore une modification de la configuration par défaut de l’application. Les failles jugées « modérées » touchent le client FTP de Windows (qui permettrait à un pirate de détourner la destination des transferts de fichiers) et le Network Connection Manager (sujet à une attaque par saturation).
Comme d’habitude, la mise à jour du système est plus que conseillée, soit en passant par les services automatiques Windows Update ou Microsoft Update, soit manuellement en installant les correctifs individuellement, selon les besoins.