Dans le cadre de sa politique de patches mensuels, Microsoft a publié une mise à jour de sécurité pour corriger différentes vulnérabilités de ses logiciels, notamment Windows et Office.
Les correctifs destinés à Internet Explorer, Windows Explorer et la fonction Microsoft Data Access Components (MDAC) ont été classés au niveau « critique » par l’éditeur, dans la mesure où ces failles pourraient permettre à un assaillant d’exécuter librement un code sur les systèmes d’exploitation des utilisateurs.
L’éditeur a indiqué dans un bulletin de sécurité publié sur son site que la vulnérabilité de MDAC, liée à sa technologie ActiveX, pourrait être utilisée par un pirate, via une page Web conçue à cet effet, pour prendre le contrôle d’un système sans interaction de l’utilisateur.
De la même manière, des personnes malintentionnées pourraient exploiter la faille affectant Windows Explorer en amenant des internautes à visiter un site Web particulier. Celui-ci obligerait alors le système à se connecter à un serveurs de fichiers distant, lequel causerait alors un plantage de l’Explorer permettant l’exécution d’un code arbitraire.
Dix failles corrigées dans Internet Explorer
Le patch pour Internet Explorer corrige quant à lui dix vulnérabilités dont le niveau de dangerosité varie de « critique » à « modéré ». Comme on s’y attendait, la mise à jour comprend un correctif pour la vulnérabilité de type « CreateTextRange » actuellement exploitée sur le Web (voir édition du 23 mars 2006), ainsi que deux autres failles découvertes ce mois-ci.
Cette mise à jour d’avril propose d’autre part un patch pour Outlook Express, exposé à une vulnérabilité susceptible d’autoriser une prise de contrôle du système. L’exploitation de cette faille nécessitant une interaction de l’utilisateur, le correctif est considéré comme « important » par Microsoft. Enfin, la cinquième et dernière rustine colmate une faille de Front Page permettant une attaque de type Cross Site Scripting.
(Traduction d’un article de VNUnet.com en date du 12 avril 2006)
Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…
Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…
Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…