Pour le mardi 10 mars 2009, Microsoft prévoit de mettre en ligne trois bulletins de sécurité donnant accès à une ensemble de rustines pour colmater diverses vulnérabilités de sécurité affectant Windows.

Un bulletin est qualifié de critique pour une ou plusieurs failles de type exécution de code à distance. Est concerné l'ensemble des versions Windows supportées, à savoir : Windows 2000, XP et Vista, ainsi que Windows Server 2003 et 2008. Au stade du préavis de sécurité, aucune information précisant le caractère de la ou les vulnérabilités impliquées n'est divulguée.

Deux autres bulletins sont quant à eux qualifiés d'importants. L'un des ces bulletins est à destination de l'ensemble des versions de Windows, tandis que Windows XP et Vista font exception au deuxième. Les vulnérabilités impliquées sont de type spoofing et typiquement relative à l'usurpation d'adresse IP.


Manque à l'appel
La petite surprise dans ce préavis de sécurité vient d'une absence. Nulle trace en effet d'un correctif à venir afin de combler une vulnérabilité de sécurité affectant Excel et pour laquelle Microsoft a émis vers la fin du mois de février dernier un avis de sécurité.

Cette vulnérabilité Excel de type exécution de code à distance est présente dans de multiples versions : Microsoft Office 2000, Microsoft Office 2002, Microsoft Office 2003, Microsoft Office 2007, Microsoft Office 2004 et 2008 pour Mac. D'abord annoncé vulnérable, Open XML File Format Converter pour Mac ne l'est finalement pas.

Au sujet de cette vulnérabilité, McAfee avait évoqué une attaque pour l'installation d'une backdoor tentant de se connecter à un site distant via le port 80  afin d'attendre des commandes. L'utilisateur pris pour cible doit toutefois avoir ouvert de son propre chef un fichier spécialement formé au format binaire .xls, alors que le nouveau format .xlsx ne semble pas impacté.