Patch Tuesday : Windows, Internet Explorer et Office au pilori
Cinq vulnérabilités critiques et trois importantes pour le bulletin de sécurité d’avril de Microsoft.
Huit nouveaux bulletins viennent animer la mise à jour de sécurité mensuelle de Microsoft pour ce mois d’avril. Le ‘patch tuesday’ du mois comprend notamment cinq bulletins qualifiés de « critiques », le niveau de dangerosité le plus élevé sur l’échelle de risques de l’éditeur.
Windows (2000 SP4, XP SP2, Server 2003 SP1 et 2008, Vista SP1, y compris les éditions 64 bits), Internet Explorer (de la 5.01 à la 7) et Office (Project et Vision) sont concernés par les mises à jour. Dans la plupart des cas, l’exploitation des vulnérabilités peut amener l’attaquant à pouvoir lancer du code à distance sur la machine affectée.
Un ActiveX Kill bit
Les plates-formes Windows sont concernés à travers de nombreux composant (client DNS, GDI, moteurs de script VBScript et JScript, ActiveX, et noyau Windows). Le bulletin MS08-023 introduit notamment une correction de l’ActiveX Kill bit pour le service Yahoo Music Jukebox qui, à partir d’une page web ou d’une image piégée, permet à l’attaquant de s’emparer du contrôle du PC.
Enfin, les applications Project et Visio sont également concernées à des niveaux critiques (Project 2000 SP1) et importants (Project 2002 SP1 et 2003 SP2, Visio 2002 à 2007). L’ouverture d’un fichier Project, Visio et .DXF peut permettre à un attaquant de bénéficier des droits de l’utilisateur local et opérer comme bon lui semble sur la machine.
Les mises à jour, comme toujours chaudement recommandées, sont disponibles à partir des services automatiques Windows et Office Update ou bien manuellement à partir de la page de résumé du bulletin mensuel.