Microsoft : bulletins de sécurité du mois de juin 2009
Comme chaque mois, Microsoft a publié ses bulletins de sécurités. Ils sont au nombre de 10 et sont répartis comme suit : 6 sont critiques, 3 sont importants, et le dernier est de niveau modéré.
Mises à jour critiques
• MS09-018 : Cette mise à jour de sécurité corrige deux vulnérabilités dans des implémentations d'Active Directory sur Microsoft Windows 2000 Server et Windows Server 2003 et d'Active Directory en mode application (ADAM) lorsqu'il est installé sur Windows XP Professionnel et Windows Server 2003. La plus grave de ces vulnérabilités pourrait permettre l'exécution de code à distance. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral à distance d'un système affecté.
• MS09-022 : Cette mise à jour de sécurité corrige trois vulnérabilités dans le spouleur d'impression Windows. La plus grave de ces vulnérabilités pourrait permettre l'exécution de code à distance si un serveur affecté recevait une requête RPC spécialement conçue.
• MS09-019 : Cette mise à jour de sécurité corrige huit vulnérabilités dans Internet Explorer. La plus grave de ces vulnérabilités pourrait permettre l'exécution de code à distance si un utilisateur affichait une page Web spécialement conçue en utilisant Internet Explorer.
• MS09-027 : Cette mise à jour de sécurité corrige deux vulnérabilités qui pourraient permettre l'exécution de code à distance si un utilisateur ouvrait un fichier Word spécialement conçu. Un attaquant qui parviendrait à exploiter l'une de ces vulnérabilités pourrait prendre le contrôle intégral d'un système affecté.
• MS09-021 : Cette mise à jour de sécurité corrige plusieurs vulnérabilités qui pourraient permettre l'exécution de code à distance si un utilisateur ouvrait un fichier Excel spécialement conçu contenant un objet d'enregistrement mal formé. Tout attaquant qui parviendrait à exploiter ces vulnérabilités pourrait prendre le contrôle intégral du système affecté.
• MS09-024 : Cette mise à jour de sécurité corrige une vulnérabilité dans les convertisseurs Microsoft Works. Cette vulnérabilité pourrait permettre l'exécution de code à distance si un utilisateur ouvrait un fichier Works spécialement conçu. Tout attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur.
Mises à jour importantes
• MS09-026 : Cette mise à jour de sécurité corrige une vulnérabilité dans la fonction d'appel de procédure distante (RPC) Windows dans lequel le moteur de marshaling RPC ne met pas à jour son état interne correctement. Cette vulnérabilité pourrait permettre à un attaquant d'exécuter du code arbitraire et ainsi de prendre le contrôle intégral d'un système affecté.
• MS09-025 : Cette mise à jour de sécurité corrige quatre vulnérabilités dans le noyau Windows qui pourraient permettre l'élévation de privilèges. Un attaquant ayant réussi à exploiter l'une de ces vulnérabilités pourrait exécuter du code arbitraire et prendre le contrôle intégral du système affecté.
• MS09-020 : Cette mise à jour de sécurité corrige deux vulnérabilités dans Microsoft Internet Information Services (IIS). Ces vulnérabilités pourraient permettre une élévation de privilèges si un attaquant envoyait une requête HTTP spécialement conçue à un site Web nécessitant une authentification.
Mise à jour modérée
• MS09-023 : Cette mise à jour de sécurité corrige une vulnérabilité dans Windows Search. Cette vulnérabilité pourrait permettre la divulgation d'informations si un utilisateur exécutait une recherche renvoyant un fichier spécialement conçu en tant que premier résultat ou si l'utilisateur prévisualisait un fichier spécialement conçu à partir des résultats de la recherche.
Comme d’habitude, le moyen le plus simple d’installer les mises à jour est d’attendre que Windows Update les propose automatiquement sous Windows XP et Vista. Ceux qui ont désactivé ces mises à jour automatiques pourront se rendre sur le site Microsoft Update.
Signalons, pour les utilisateurs de Windows 7, que les bulletins ne concernent pas les systèmes en construction. Les correctifs, s’ils concernent le nouveau produit, sont directement intégrés. (Source PC INpact).