Une fois n’est pas coutume, aucune vulnérabilité considérée comme « critique » ne vient animer le bulletin mensuel de sécurité pour ce mois de juillet. Les quatre correctifs proposés (MS08-037 à 40) n’en sont pas moins « importants » et il conviendra de mettre à jour les systèmes au plus vite pour éviter d’éventuelle attaques, soit par élévation de privilège, soit par exécution distante de code.
Le gestionnaire de fichier Windows Explorer, le module Outlook Web Access (OWA) pour le serveur Exchange, SQL Server et le gestionnaire de nom de domaine (DNS) sont concernées par les correctifs sur les plates-formes Windows 2000 SP4 (pour SQL Server 2000), Windows XP SP 2et 3 et Edition 64 bits SP2, Windows Server 2003 SP 1 et 2 pour Itanium, Windows Vista et SP1, ainsi que Windows Server 2008 (Edition 64 et Itanium comprises).
A noter que l’ensemble des plates-formes sont affectés par la faille DNS, pour la version client ou serveur selon le système. Le correctif de cette vulnérabilité a bénéficié d’un effort commun à Microsoft, Cisco et Sun Microsystem. Sous la houlette du découvreur de la brèche de sécurité, Dan Kaminsky, responsable des tests d’intrusion chez IOActive, le développement du patch a nécessité 6 mois de travail dans le plus grand secret pour ne pas (trop) mettre en éveil les pirates.
Détournement de trafic web
La faille en question permettait d’injecter des informations erronées dans les caches des serveurs de DNS (qui assurent la translation entre une adresse alphanumérique en numéro IP du serveur) afin de détourner un trafic Web et mail vers des sites malveillants (faux sites de banque ou de e-commerce généralement) dans le but de soutirer à l’internaute des informations confidentielles (codes secret, numéro de carte bancaire…) à son insu. Un correctif d’une importance telle qu’on se demande ce qui pousse Microsoft à ne pas classer la vulnérabilité dans la catégorie « critique ».
Dans une alerte à part du bulletin mensuel mais également datée du 8 juillet, Microsoft informe que des vulnérabilités touchent l’application Office Word 2002 Service Pack 3 exclusivement. A partir du chargement d’un fichier .doc malformé, la faille permet l’exécution de code distant. Les autres instances du traitement de texte (y compris Word 2000) ne sont pas concernées, selon l’éditeur. Aucun correctif n’est pour le moment proposé par Microsoft.
Deux offres de cybersécurité portées par ITrust et Docaposte intègrent des suites collaboratives. Présentation.
Les dernières migrations de Windows 10 vers Windows 11 vont accélérer l'adoption des PC IA. Mais des…
L’IA générative excelle dans plusieurs cas d’usage, notamment dans l’analyse, la recherche et la synthèse…
Trop tôt pour envisager d'acquérir un PC Copilot+ ? Les roadmaps d'Intel et d'AMD peuvent…
Dévoilés lors du CES 2025, les PC Copilot+ au format convertible restent encore limitée dans…
Les fonctionnalités de Gemini sont intégrées dans la suite bureautique Google Workspace. Conséquence : les…
