Windows XP patch pansement Avec son Patch Tuesday d'août 2008, Microsoft porte son total de bulletins de sécurité publiés depuis le début de l'année à 51. Ce mardi sécuritaire promettait d'être copieux et il a assurément été pour combler pas moins de 26 vulnérabilités affectant divers produits de la firme de Redmond parmi lesquels Office, Windows Mail, Outlook, Internet Explorer et d'autres. Les correctifs salutaires sont présentés dans 11 bulletins dont 6 critiques et 5 importants.

Parmi les bulletins qui attireront l'attention, l'estampillé MS008-045 devra faire l'objet d'une grande considération car relatif au navigateur Internet Explorer. Une mise à jour cumulative pour combler 6 vulnérabilités dont une révélée publiquement et pour laquelle un code exploit existe déjà. Une faille 0-day donc. Internet Explorer 6 ou 7 sous Windows XP ou Vista, c'est le même topo pour une mise à jour qui modifie la façon dont le fureteur traite les objets HTML. Autant dire que le champ d'exploitation semble vaste.

Les correctifs pour IE sont à rapprocher avec un autre pour combler une vulnérabilité détectée dans le contrôle ActiveX Snapshot Viewer pour Microsoft Access, tout simplement parce que l'exploitation se fait via une page Web spécialement conçue. Symantec avait déjà prévenu de la dangerosité de cette faille, d'autant qu'en milieu professionnel ledit contrôle ActiveX est assez répandu (version 2000, 2002 et 2003 d'Access).

Autre mise à jour relativement sensible, celle apportant un correctif à une vulnérabilité d'exécution de code à distance dans la façon dont le moteur de rendu graphique (GDI) traite des images spécialement conçues qui peuvent être véhiculées via le Web. Pour cette vulnérabilité, Windows Vista n'est toutefois pas concerné.

Un autre correctif est à destination d'une faille 0-day dans Microsoft Word (2002, 2003) mais cette vulnérabilité est qualifiée d'importante. Toujours dans le domaine de la bureautique, la dernière version 2007 d'Office n'a pas été oubliée et notamment Excel et PowerPoint pour des vulnérabilités critiques.

D'autres " joyeusetés " sont à découvrir dans la synthèse des bulletins de sécurité, et à noter que par rapport aux prévisions de la semaine dernière, une mise à jour de sécurité est passée à la trappe. Ce n'est certainement que partie remise et probablement pour Windows Media Player.