Patch Tuesday : sept vulnérabilités Windows en décembre

Comme tous, ou presque, les deuxièmes mardi du mois, Microsoft a publié son bulletin mensuel de sécurité. L’édition de décembre 2007 corrige 7 vulnérabilités : 3 critiques et 4 importantes, selon le classement de Microsoft. Les versions Vista, XP, 2003 et 2000 de Windows sont concernées.

Les trois mises à jour critiques concernent l’interface DirectX (bulletin MS07-064), le format Windows Media (MS07-068) et le navigateur Internet Explorer (MS07-069). Exploitées, les vulnérabilités qui affectent ces composants permettent l’exécution de code à distance sur la machine affectée. Ce qui pourrait amener un pirate à prendre le contrôle du PC ou encore un virus à s’exécuter, notamment par l’intermédiaire d’un fichier vérolé.

Le risque d’exécution de code distant touche également les services de messagerie à travers le SMBv2 (Server Message Block Version 2) et le MSMQ (Message Queuing Service). Une vulnérabilité découverte dans le noyau (Kernel) de Windows pourrait accorder les privilèges de contrôle administrateur à un attaquant. Enfin, découverte en novembre 2007, la faille du pilote de Macrovision (gestion des droits de jeux vidéo sous protection SafeDisc) intégré à Windows a également été comblée. Macrovision proposait cependant un correctif de son côté.

Face aux risques que fait courir la divulgation des vulnérabilités du mois, la mise à jour des systèmes est donc fortement recommandée dans les plus brefs délais. Soit manuellement, à partir de l’outil d’analyse MSBA, soit automatiquement par l’intermédiaire des services de mise à jour WindowsUpdate et MicrosoftUpadte.