Patch Tuesday : 11 bulletins et 17 vulnérabilités comblées

Même si un bulletin relatif à une vulnérabilité JScript manque à l'appel, le Patch Tuesday de février 2008 est comme prévu plutôt bien doté en rustines en tout genre, destinées à colmater les trous de sécurité découvert dans l'écosystème logiciel de Microsoft.


Six bulletins de sécurité critiques (exécution de code à distance)
MS08-007 : une vulnérabilité dans le mini-redirecteur WebDAV permet l'exécution de code à distance. Windows XP et Vista sont concernés.

MS08-008 : une vulnérabilité dans OLE Automation. Microsoft Visual Basic, Windows XP / VIsta et Office 2004 pour Mac sont concernés.

MS08-009 : une vulnérabilité dans Microsoft Word. Office System 2007 n'est pas concerné.

MS08-010 : mise à jour de sécurité cumulative (4 vulnérabilités) pour Internet Explorer version 6 et 7 sous Windows XP et Vista.

MS08-012 : deux vulnérabilités dans Microsoft Office Publisher. La version 2007 n'est pas concernée.

MS08-013 : une vulnérabilité dans Microsoft Office 2000, XP, 2003 et 2004 pour Mac.


Cinq bulletins de sécurité importants
MS08-003 : une vulnérabilité dans Active Directory qui permet un déni de service. Windows XP Pro et Server 2003 sont concernés.

MS08-004 : une vulnérabilité dans Windows TCP/IP qui permet un déni de service. Seul Windows Vista est concerné.

MS08-005 : une vulnérabilité dans Microsoft Internet Information Services (IIS) qui permet une élévation de privilèges. WIndows XP et Vista sont concernés.

MS08-006: une vulnérabilité dans Microsoft Internet Information Services (IIS) qui permet l'exécution de code à distance. Windows Vista n'est pas concerné.

MS08-011 : trois vulnérabilités dans le convertisseur de fichiers Microsoft Works 6 qui permettent l'exécution de code à distance.

Les vulnérabilités à combler le plus rapidement sont relatives au navigateur Internet Explorer (bulletin MS08-010), tout simplement eu égard à son nombre d'utilisateurs important. Ces vulnérabilités sont exploitables à distance et sont dues à des problèmes de corruption de mémoire lors du traitement de certaines données (via une page Web spécialement conçue).

A noter par ailleurs que la vulnérabilité affectant le tableur Excel dont l'existence a été révélée par Microsoft à la mi-janvier, n'est toujours pas comblée.