Patch Tuesday : Microsoft détecte trois mises à jour critiques
Le bulletin de sécurité Microsoft de juillet 2007 est paru. Au menu : trois
mises à jour critiques, deux classées importantes et une modérée.
Microsoft vient de publier son traditionnel bulletin de sécurité mensuel récapitulant les récentes mises à jour disponibles pour ses différents logiciels. Il recense trois mises à jour critiques, deux classées importantes et une modérée.
La première catégorie de failles concerne l’exécution potentielle de code malveillant à distance. Excel est au rang des victimes du fait des failles référencées dans le bulletin MS07-039. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système paraissent souffrir de moins d’impact que ceux qui possèdent des privilèges d’administrateur. Les versions concernées sont celles figurant dans Microsoft Office 2000 Service Pack 3, ainsi que dans un degré moindre Microsoft Office XP Service Pack 3, Microsoft Office 2003 Service Pack 2 (ainsi que le Viewer Excel), Microsoft Office System 2007 et le pack de compatibilité Office pour les formats de fichier Word, Excel et PowerPoint 2007.
L’autre lot de failles colmatées du bulletin MS07-040 touche .NET Framework et permet là encore soit l’exécution de code malveillant à distance (les utilisateurs ayant le moins de privilèges étant le moins impactés), soit la divulgation d’informations sur les serveurs Web exécutant ASP.NET. La liste des frameworks touchés est importantes : les versions 1.0, 1.1 et 2.0 pour Windows 2000 Service Pack 4, Windows XP Service Pack 2, Windows XP Professionnel Édition x64 ainsi que son Service Pack 2, Windows Server 2003 Service Pack 1 et 2 pour les systèmes 32 bits, Itanium et x64. Sont également touchés Vista (édition 64 comprise) et même pour le Framework 1.0 Windows XP Édition Tablet PC 2005 et Édition Media Center 2005.
Enfin, une faille aux résultats similaires touchait les implémentations d’Active Directory sur Windows Server 2000 SP4 et Windows Server 2003 SP1 et SP2 (y compris édition x64 et Itanium). Elle peut aussi permettre une attaque par déni de service. Même si l’attaquant doit disposer d’informations d’identification valides, il est indispensable d’installer le correctif lié au bulletin MS07-039.
Une « petite » vulnérabilité du côté du pare-feu de Vista
Avant application du correctif MS07-037, Publisher 2007 souffre de son côté d’une faille importante puisqu’elle permet l’exécution de code malveillant à distance. Toutefois elle nécessite une interaction avec l’utilisateur ce qui en limite la portée. De même avant installation du correctif MS07-041, un code pourrait être exécuté à distance en envoyant des requêtes URL malformées à une page Web hébergée par Internet Information Services (IIS) 5.1 sur Windows XP Professionnel Service Pack 2.
Pour finir, Microsoft considère comme modérée la vulnérabilité (MS07-038) située dans son pare-feu de Vista 32 et 64 bits qui pourrait autoriser un trafic réseau entrant non sollicité d’accéder à une interface réseau et ainsi récupérer des informations sur l’hôte affecté.
Tous ces correctifs sont présents sur Microsoft Update ou sont installés grâce aux mises à jour automatiques des logiciels Microsoft. Toutefois les utilisateurs les plus paranoïaques désactiveront cette fonctionnalité car il est déjà arrivé que des pirates se servent de tels canaux dans d’autres produits pour leurs attaques.