Patch Tuesday : Microsoft corrige 34 failles de sécurité
Microsoft publie un Patch Tuesday musclé pour ce mois d’août, comprenant 14 bulletins de sécurité pour combler 34 failles de sécurité, principalement sous Windows, IE, Office et Silverlight.
La période estivale n’est pas si calme pour Microsoft. Il vient de délivrer un Patch Tuesday record pour ce mois d’août, comprenant 14 bulletins de sécurité chargés de combler 34 failles touchant Windows, Office, Internet Explorer, Silverlight, Server Message Block et Microosft XML Core Services.
Parmi ces vulnérabilités de sécurité corrigées, huit de ces mises à jour sont qualifiées de « critiques » et six d’ »importantes ». Elles affectent tous les systèmes Windows, de XP à Windows 7, toutes les versions d’Office, sauf Office 2010, Internet Explorer 7 et 8 et les plug-in Silverligth 2 et 3.
A noter que ce Patch Tuesday intègre également le récent correctif distribué par Microsoft, destiné à colmater la faille de sécurité critique qui touche les fichiers de raccourcis de Windows Shell.
La mise à jour critique MS10-049 corrige, sous Windows, une vulnérabilité révélée publiquement et une vulnérabilité signalée confidentiellement dans le pack de sécurité Secure Channel (SChannel).
La plus grave de ces vulnérabilités pourrait permettre l’exécution de code à distance si un utilisateur visitait un site Web spécialement conçu pour exploiter ces vulnérabilités via un navigateur.
Le bulletin MS10-051combre une faille de sécurité critique signalée confidentiellement dans Microsoft XML Core Services. Cette vulnérabilité pourrait permettre l’exécution de code à distance si un utilisateur affiche une page Web spécialement conçue à l’aide d’Internet Explorer.
La mise à jour critique MS10-053 patche six vulnérabilités signalées dans Internet Explorer. Les vulnérabilités les plus graves pourraient permettre l’exécution de code à distance si un utilisateur affichait une page Web spécialement conçue à l’aide d’Internet Explorer.
Le bulletin MS10-054 comble plusieurs failles de sécurité signalées dans Windows. Elles pourraient là aussi permettre l’exécution de code à distance si un attaquant créait un paquet SMB spécialement conçu et l’envoyait à un système affecté.
La mise à jour MS10-056 comble quatre vulnérabilités dans Microsoft Office (sauf Office 2010) dont les plus graves permettent l’exécution de code à distance lors de l’ouverture ou la prévisualisation d’un e-mail RTF spécialement conçu.
Enfin, le dernier bulletin critique (MS10-060) patche deux failles liées à l’exécution de code à distance dans Microsoft .NET Framework et Microsoft Silverlight.
Rappelons qu’en juin dernier déjà, la firme de Redmond avait publié un Patch Tuesday musclé, intégrant 10 bulletins de sécurité pour colmater 34 failles de sécurité.