Patch Tuesday : Microsoft comble 34 failles de sécurité
Le Patch Tuesday pour juin de Microsoft ne passe pas inaperçu. Il contient 10 bulletins de sécurité, dont trois sont critiques, chargés de corriger 34 failles principalement sous Windows, Office et IE.
Avant l’été, Microsoft délivre un Patch Tuesday musclé pour ce mois de juin, comprenant 10 bulletins de sécurité chargés de combler pas moins de 34 failles de sécurité, et affectant les OS Windows (Windows 2000, XP, Vista, Windows 7, Windows Server 2003, Server 2008 et 2008 R2), Internet Explorer , Office et .NET Framework. Ces correctifs concernent trois vulnérabilités « critiques ».
Ainsi, la mise à jour critique MS10-033 corrige, sous Windows, des vulnérabilités signalées dans la décompression de fichiers multimédia.
Ces failles de sécurité pourraient permettent l’exécution de code à distance si un utilisateur ouvrait un fichier multimédia spécialement conçu d’un site Web ou de toute application proposant du contenu Web. Tout pirate parvenant à exploiter ces vulnérabilités pourrait obtenir les mêmes droits que l’utilisateur.
Le deuxième bulletin MS10-034 mis en avant comble deux failles critiques repérées sous Windows. Elles permettent là aussi à un attaquant de prendre le contrôle d’un ordinateur à distance si jamais l’utilisateur décidait d’afficher une page Web spécialement conçue qui lancerait un contrôle ActiveX à l’aide d’Internet Explorer.
Le dernier bulletin critique (MS10-35) concerne Windows mais aussi le navigateur Internet Explorer. Il patche cinq vulnérabilités qui pourraient permettre l’exécution de code à distance si un utilisateur affichait une page Web spécialement conçue en ayant recours à Internet Explorer. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d’impact que ceux qui possèdent des privilèges d’administrateur.
Les autres bulletins, de moindre importance, corrigent des failles de sécurité dans Office Excel et Microsoft Internet Information Services (IIS) pouvant permettre l’exécution de code malveillant à distance.
Ces mises à jour concernent également le pilote Compact Font Format (CFF) OpenType sous Windows et SharePoint. Les failles repérées pourraient mener à une élévation des privilèges.
Un dernier bulletin Microsoft comble une faille de sécurité dans .NET Framework. Elle pourrait permettre de falsifier des données dans du contenu XML signé sans être détecté.