La découverte de vingt et une nouvelles vulnérabilités dans
les logiciels Microsoft donne lieu à dix patchs de sécurité
fournit par l'éditeur dont sept sont considérés comme critiques.
Les correctifs sont disponibles sur le site Windows Update.
Sont concernés par ces patchs, les systèmes d'exploitations
Windows NT 4 Server, Windows Server 2003, Windows XP, Windows
98, Windows 2000 et Windows Millenium mais aussi Exchange
Server 2003. Les failles concernent l'API Windows Management,
la structure de données Windows, le moteur de rendu graphique
sous les fichiers WMF et EMF ainsi que le référentiel mémoire
sous la machine DOS virtuelle.
L'exploitation
de ces failles peut donner lieu à des attaques en déni de
service ou à des saturations mémoire (buffer overflow) des
machines non patchées. Huit vulnérabilités s'appliquent à
Internet Explorer, dont trois sont qualifiées de critiques.
Elles affectent la gestion des feuilles de styles en cascade
(CSS), la DLL "Inseng.dll" et le composant "cross domain security
model".
Ces failles peuvent être utilisées pour télécharger et exécuter
du code à distance, utiliser le contenu du cache d'un site
ou camoufler l'URL affichée dans la barre d'adresse. Les utilisateurs
de Windows XP SP2 n'auront qu'un seul correctif à installer.
Par ailleurs, Microsoft à mis à disposition sur sa plate-forme
Windows Update, les patchs de sécurité Office XP, suite aux
demandes de ses clients.
Une telle avalanche de rustines sur les produits Microsoft
ne s'était pas produite depuis avril 2004, date à laquelle
l'éditeur avait alors publié une liste de 20 vulnérabilités
touchant ses produits. Au début du mois, Steve Ballmer, le
PDG de Microsoft, soulignait que le caractère " sans fin "
de la lutte de l'éditeur en matière de sécurité. La dernière
faille publiée, celle affectant les images Jpeg, avait donnée
lieu à un troyen quatre jours après sa publication, démontrant
la réactivité des pirates.
|