Jeudi 11 juin 2009 à 10h33
Comme chaque second mardi de chaque mois, la firme américaine met à disposition des utilisateurs ses correctifs de sécurité. Des mises à niveau indispensables.
Comme chaque second mardi de chaque mois, Microsoft met à disposition un bon nombre de correctifs. Si les mois précédents étaient plutôt légers en terme de mise à jour, ce mois de juin nous surprend avec ces 31 failles de sécurité corrigées et 10 bulletins de sécurité publiées. Sur ces 10 bulletins, on notera que 6 d'entre eux sont qualifiés de critiques par la firme américaine, 3 sont considérées comme importantes, et 1 est modérée.
Voici le détail de ces 10 bulletins de sécurité. Rappelons que vous pouvez procéder au téléchargement de ces correctifs soit en vous rendant sur le site officiel de Microsoft, soit - plus simple et plus rapide - en utilisant l'outil Windows Update présent sur votre ordinateur. Si vous ne savez pas où celui-ci se trouve, utilisez le moteur de recherche intégré à votre Menu Démarrer.
Mises à jour de sécurité de Microsoft
Indice : critique
Cette mise à jour de sécurité corrige deux vulnérabilités signalées confidentiellement dans des implémentations d'Active Directory sur Microsoft Windows 2000 Server et Windows Server 2003 et d'Active Directory en mode application (ADAM) lorsqu'il est installé sur Windows XP Professionnel et Windows Server 2003. La plus grave de ces vulnérabilités pourrait permettre l'exécution de code à distance. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral à distance d'un système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges. Les meilleures pratiques en matière de pare-feu, ainsi que les configurations par défaut des pare-feu, contribuent à protéger les réseaux contre les attaques lancées depuis l’extérieur de l’entreprise. Les meilleures pratiques recommandent que les systèmes connectés à Internet aient le moins possible de ports exposés.
Indice : critique
Cette mise à jour de sécurité corrige trois vulnérabilités dans le spouleur d'impression Windows signalées confidentiellement. La plus grave de ces vulnérabilités pourrait permettre l'exécution de code à distance si un serveur affecté recevait une requête RPC spécialement conçue. Les meilleures pratiques en matière de pare-feu, ainsi que les configurations par défaut des pare-feu, contribuent à protéger les réseaux contre les attaques lancées depuis l’extérieur de l’entreprise. Les meilleures pratiques recommandent que les systèmes connectés à Internet aient le moins possible de ports exposés.
Indice : critique
Cette mise à jour de sécurité corrige sept vulnérabilités signalées confidentiellement et une vulnérabilité révélée publiquement dans Internet Explorer. La plus grave de ces vulnérabilités pourrait permettre l'exécution de code à distance si un utilisateur affichait une page Web spécialement conçue en utilisant Internet Explorer. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.
Indice : critique
Cette mise à jour de sécurité corrige deux vulnérabilités signalées confidentiellement qui pourraient permettre l'exécution de code à distance si un utilisateur ouvrait un fichier Word spécialement conçu. Un attaquant qui parviendrait à exploiter l'une de ces vulnérabilités pourrait prendre le contrôle intégral d'un système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges.
Indice : critique
Cette mise à jour de sécurité corrige plusieurs vulnérabilités signalées confidentiellement qui pourraient permettre l'exécution de code à distance si un utilisateur ouvrait un fichier Excel spécialement conçu contenant un objet d'enregistrement mal formé. Tout attaquant qui parviendrait à exploiter ces vulnérabilités pourrait prendre le contrôle intégral du système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges.
Indice : critique
Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement dans les convertisseurs Microsoft Works. Cette vulnérabilité pourrait permettre l'exécution de code à distance si un utilisateur ouvrait un fichier Works spécialement conçu. Tout attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.
Indice : important
Cette mise à jour de sécurité corrige une vulnérabilité révélée publiquement dans la fonction d'appel de procédure distante (RPC) Windows dans lequel le moteur de marshaling RPC ne met pas à jour son état interne correctement. Cette vulnérabilité pourrait permettre à un attaquant d'exécuter du code arbitraire et ainsi de prendre le contrôle intégral d'un système affecté. Les éditions en cours de support de Microsoft Windows ne sont fournies avec aucun client ou serveur RPC exposé à l'exploitation de cette vulnérabilité. Dans une configuration par défaut, les utilisateurs ne pourraient pas être attaqués par l'exploitation de cette vulnérabilité. Cependant, la vulnérabilité est présente dans le module d'exécution RPC de Microsoft Windows et pourrait affecter des applications RPC tierces.
Indice : important
Cette mise à jour de sécurité corrige deux vulnérabilités révélées publiquement et deux vulnérabilités signalées confidentiellement dans le noyau Windows qui pourraient permettre l'élévation de privilèges. Un attaquant ayant réussi à exploiter l'une de ces vulnérabilités pourrait exécuter du code arbitraire et prendre le contrôle intégral du système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges. Pour exploiter ces vulnérabilités, l'attaquant doit disposer d'informations d'identification valides afin d'ouvrir une session en local. Ces vulnérabilités ne peuvent pas être exploitées à distance ou par des utilisateurs anonymes.
Indice : important
Cette mise à jour de sécurité corrige une vulnérabilité révélée publiquement et une vulnérabilité signalée confidentiellement dans Microsoft Internet Information Services (IIS). Ces vulnérabilités pourraient permettre une élévation de privilèges si un attaquant envoyait une requête HTTP spécialement conçue à un site Web nécessitant une authentification. Ces vulnérabilités permettent à un attaquant de contourner la configuration IIS qui indique quel type d'authentification est autorisé. La liste de contrôle d'accès (ACL) basée sur le système de fichiers qui vérifie si un fichier est accessible par un utilisateur donné sera cependant toujours effective. Un attaquant qui parviendrait à exploiter ces vulnérabilités ne pourrait cependant obtenir que les autorisations accordées au compte utilisateur anonyme par les listes de contrôle d'accès du système de fichiers.
Indice : modéré
Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement dans Windows Search. Cette vulnérabilité pourrait permettre la divulgation d'informations si un utilisateur exécutait une recherche renvoyant un fichier spécialement conçu en tant que premier résultat ou si l'utilisateur prévisualisait un fichier spécialement conçu à partir des résultats de la recherche. Par défaut, le composant Windows Search n'est préinstallé ni sur Microsoft Windows XP ni sur Windows Server 2003. Il s'agit d'un composant facultatif disponible au téléchargement. La version de Windows Search installée sur les éditions en cours de support de Windows Vista et de Windows Server 2008 n'est pas concernée par cette vulnérabilité.
Quiz : êtes-vous geek ?
Vous aimez votre ordinateur, c'est certain. Pour savoir si vous êtes un utilisateur du dimanche ou un vrai passionné à la limite de la pathologie, répondez à ces quelques questions... Plus vous avez de bonnes réponses, moins c'est bon pour votre santé mentale. Bonne chance !
Ce test de connaissances comporte 10 questions
Cela vous dirait de découvrir les vraies couleurs de la Terre ? De poser le pied sur Mars ou la Lune et de voir ce qu'il y a autour de vous ? WorldWide Telescope est tout simplement impressionnant !
Bing : le moteur de recherche de MicrosoftLe nouveau moteur de Microsoft vient de voir le jour un peu en avance. Pour le moment, les fonctionnalités offertes semblent intéressantes... mais pour la version américaine seulement.
Hotmail : le webmail de MicrosoftC'est quoi un webmail ? Avantages et inconvénients sont listés dans ce dossier ainsi que les caractéristiques principales de la messagerie en ligne de la firme américaine...
Microsoft Security Essentials : l'antivirus gratuitMicrosoft Security Essentials est le nouvel antivirus gratuit de Microsoft. Voici un dossier pour vous aider à le prendre en main, commentaires et images à l'appui.
Les principales fonctionnalités de Microsoft Security EssentialsDécouvrons maintenant les principales fonctionnalités de Microsoft Security Essentials, lesquelles sont regroupées dans quatre onglets différents.
Windows 7 : le système d'exploitation de MicrosoftNous avons testé le tout nouveau système d'exploitation de Microsoft, Windows 7. Découvrons ensemble les nouveautés de cet OS qui n'aura visiblement pas trop de mal à faire oublier Windows Vista…
