Microsoft publie dix correctifs de sécurité

Ce sont pas moins de dix correctifs que Microsoft a publiés, mardi 14 juin, dans le cadre de ses mises à jour mensuelles de sécurité (bulletins MS05-25 à MS05-34). Sur la dizaine de vulnérabilités corrigées, trois sont considérées comme « critiques » et quatre « importantes », les trois dernières présentant un risque « modéré ». L’application des correctifs n’en reste pas moins fortement conseillée, le plus simple étant d’exploiter le service de mise à jour automatique Windows Update.

Des failles à tous les étages

Quasiment toutes les versions des systèmes d’exploitation encore supportées par l’éditeur sont affectées par des failles critiques : Windows Server 2003 (SP3 et SP4) pour plates-formes X86 (32 et 64 bits) et Itanium, Windows XP SP1 et SP2, Windows Me/98SE/98. Ainsi que quelques composants comme Outlook Express (5.5 et 6) et applications dont Exchange 5.5 SP4. Sans oublier un patch cumulatif (MS05-25) pour Internet Explorer qui vient remplacer le précédent MS05-20.

Nombre de ces vulnérabilités permettent d’exécuter du code à distance afin de prendre le contrôle de l’ordinateur. Les trois failles critiques affectent les applications Internet Explorer, SMB (Server Message Block) et le service HTML Help. Les brèches de sécurité jugées « importantes » affectent les services Outlook Web Access d’Exchange Server 5.5 (via un transfert de script entre sites), WebClient de Windows et le client Outlook Express. Les brèches considérées comme « modérées » permettent quant à elles de la récupération d’informations (pour ISA Server 2000 et le client Telnet) ou une usurpation d’identité via Microsoft Agent. Cette dernière nécessitant la complicité involontaire de la victime qui devra se rendre sur un site Web piégé pour permettre l’exploitation de la faille.