Patch Tuesday : Microsoft comble 11 failles de sécurité

Microsoft vient de livrer son Patch Tuesday du mois de septembre, moins dense que le précédent lot de correctifs d’août dernier.

Il comprend 9 bulletins de sécurité chargés de combler 11 failles de sécurité découvertes dans Office, le logiciel de gestion des serveurs Web IIS (Internet Information Services), et sous Windows XP (SP2 et SP3), Vista (SP1 et SP2) et Windows Server (de 2003 à 2008).

Ce Patch Tuesday contient 4 bulletins de sécurité pour des vulnérabilités qualifiées de « critiques ». Et les cinq autres bulletins corrigent des failles « importantes ».

Parmi les bulletins critiques mis en avant, signalons la mise à jour MS10-061, qui comble, sous Windows, une faille de sécurité dans le service Spouleur d’impression, qui pourrait permettre l’exécution de code à distance, via l’envoi d’une requête d’impression spécialement conçue à un système vulnérable qui possède une interface spouleur d’impression sur RPC.

Le bulletin MS10-062 patche une vulnérabilité découverte dans le codec MPEG-4 pouvant là aussi permettre l’exécution de code à distance sous un système Windows.

La mise à jour MS10-063 corrige, sous Office, une faille dans le processeur de scripts Unicode permettant l’exécution de code à distance si un utilisateur affiche un document ou une page Web spécialement conçu avec une application prenant en charge des polices Embedded OpenType. Tout attaquant parvenant à exploiter cette faille pourrait obtenir les mêmes droits que l’utilisateur.

Le dernier bulletin critique, le MS10-064, comble une vulnérabilité dans Microsoft OutLook. Cette faille de sécurité pourrait permettre l’exécution de code à distance si un utilisateur ouvrait ou pré-visualisait un e-mail spécialement conçu utilisant une version affectée de Microsoft Outlook connectée à un serveur Exchange en mode en ligne.