Comme prévu, le Patch Tuesday du mois d'avril 2007 contient cinq mises à jour destinées à combler diverses failles susceptibles de mettre en péril la sécurité de l'écosystème logiciel de Microsoft. Cinq rustines voire six pour les utilisateurs de Windows qui n'ont pas encore procédé à l'installation du correctif disponible depuis la semaine dernière et destiné à prendre en charge la vulnérabilité dite des curseurs animés (bulletin de sécurité MS07-17).

Le fait le plus notable de ce troisième Patch Tuesday de l'année 2007 puisque le mois de mars a fait exception à la règle, est sans doute la présence pour la première fois dans ce cadre là, d'une mise à jour intéressant mais pas seulement Windows Vista, commercialisé en version boîte depuis fin janvier alors que pour la suite bureautique Office toujours victime de trois vulnérabilités, rien à signaler.


Le bulletin de sécurité Microsoft pour avril 2007
4 correctifs pour des vulnérabilités critiques de type exécution de code à distance :

  • Bulletin de sécurité MS07-18 : correction de deux vulnérabilités présentes dans Microsoft Content Management Server 2001 SP1 et 2002 SP2.

  • Bulletin de sécurité MS07-19 : correction d'une vulnérabilité de corruption de mémoire dans Universal Plug and Play plus connu sous le sigle UPnP (seul Windows XP SP2 est concerné).

  • Bulletin de sécurité MS07-20 : correction d'une vulnérabilité liée au traitement des URL dans Microsoft Agent (Vista non concerné).

  • Bulletin de sécurité MS07-21 : correction de trois vulnérabilités dans Client / Server Runtime Subsystem, processus pour la gestion des fenêtres et des éléments graphiques de Windows (le célèbre csrss.exe). C'est ladite mise à jour destinée à tous les Windows récents dont Vista.


1 correctif pour une vulnérabilité importante de type élévation de privilèges :

  • Bulletin de sécurité MS07-22 : correction d'une vulnérabilité d'élévation locale des privilèges dans le noyau Windows (2000, XP, Server 2003).