Huit nouveaux bulletins viennent animer la mise à jour de sécurité mensuelle de Microsoft pour ce mois d’avril. Le ‘patch tuesday’ du mois comprend notamment cinq bulletins qualifiés de « critiques », le niveau de dangerosité le plus élevé sur l’échelle de risques de l’éditeur.
Windows (2000 SP4, XP SP2, Server 2003 SP1 et 2008, Vista SP1, y compris les éditions 64 bits), Internet Explorer (de la 5.01 à la 7) et Office (Project et Vision) sont concernés par les mises à jour. Dans la plupart des cas, l’exploitation des vulnérabilités peut amener l’attaquant à pouvoir lancer du code à distance sur la machine affectée.
Un ActiveX Kill bit
Les plates-formes Windows sont concernés à travers de nombreux composant (client DNS, GDI, moteurs de script VBScript et JScript, ActiveX, et noyau Windows). Le bulletin MS08-023 introduit notamment une correction de l’ActiveX Kill bit pour le service Yahoo Music Jukebox qui, à partir d’une page web ou d’une image piégée, permet à l’attaquant de s’emparer du contrôle du PC.
Enfin, les applications Project et Visio sont également concernées à des niveaux critiques (Project 2000 SP1) et importants (Project 2002 SP1 et 2003 SP2, Visio 2002 à 2007). L’ouverture d’un fichier Project, Visio et .DXF peut permettre à un attaquant de bénéficier des droits de l’utilisateur local et opérer comme bon lui semble sur la machine.
Les mises à jour, comme toujours chaudement recommandées, sont disponibles à partir des services automatiques Windows et Office Update ou bien manuellement à partir de la page de résumé du bulletin mensuel.
Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…
Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…
Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…