Microsoft livre ses mises à jour d’avril
L’éditeur corrige des failles critiques sur Internet Explorer et Windows Explorer. Outlook Express et Front Page sont aussi réparés.
Dans le cadre de sa politique de patches mensuels, Microsoft a publié une mise à jour de sécurité pour corriger différentes vulnérabilités de ses logiciels, notamment Windows et Office.
Les correctifs destinés à Internet Explorer, Windows Explorer et la fonction Microsoft Data Access Components (MDAC) ont été classés au niveau « critique » par l’éditeur, dans la mesure où ces failles pourraient permettre à un assaillant d’exécuter librement un code sur les systèmes d’exploitation des utilisateurs.
L’éditeur a indiqué dans un bulletin de sécurité publié sur son site que la vulnérabilité de MDAC, liée à sa technologie ActiveX, pourrait être utilisée par un pirate, via une page Web conçue à cet effet, pour prendre le contrôle d’un système sans interaction de l’utilisateur.
De la même manière, des personnes malintentionnées pourraient exploiter la faille affectant Windows Explorer en amenant des internautes à visiter un site Web particulier. Celui-ci obligerait alors le système à se connecter à un serveurs de fichiers distant, lequel causerait alors un plantage de l’Explorer permettant l’exécution d’un code arbitraire.
Dix failles corrigées dans Internet Explorer
Le patch pour Internet Explorer corrige quant à lui dix vulnérabilités dont le niveau de dangerosité varie de « critique » à « modéré ». Comme on s’y attendait, la mise à jour comprend un correctif pour la vulnérabilité de type « CreateTextRange » actuellement exploitée sur le Web (voir édition du 23 mars 2006), ainsi que deux autres failles découvertes ce mois-ci.
Cette mise à jour d’avril propose d’autre part un patch pour Outlook Express, exposé à une vulnérabilité susceptible d’autoriser une prise de contrôle du système. L’exploitation de cette faille nécessitant une interaction de l’utilisateur, le correctif est considéré comme « important » par Microsoft. Enfin, la cinquième et dernière rustine colmate une faille de Front Page permettant une attaque de type Cross Site Scripting.
(Traduction d’un article de VNUnet.com en date du 12 avril 2006)