Microsoft avait promis pour mardi 9 juin 2009 un Patch Tuesday copieux, ce qu'il a été. On peut même parler de record avec le comblement de 31 vulnérabilités de sécurité, soit pour un mois, l'équivalent d'un correctif journalier.
Les rustines sont annoncées dans dix bulletins de sécurité, dont six concernant Windows avec deux qualifiés de critiques, trois d'importants et un dernier de modéré. Les quatre autres bulletins sont critiques et concernent Internet Explorer, Microsoft Office Word, Microsoft Office Excel et Microsoft Works Converter.
Internet Explorer en priorité
L'un des bulletins auxquels il convient d'apporter une grande attention est celui relatif au navigateur Web Internet Explorer. Une mise à jour cumulative pour corriger huit vulnérabilités de sécurité dont la plus sérieuse permet l'exécution de code à distance lors de l'affichage d'une page Web spécialement conçue. Toutes les versions d'IE sont concernées, quel que soit l'OS hôte, et la petite surprise est sans doute de retrouver dans cette liste la présence d'IE8.
Une inauguration pour la dernière mouture en date d'Internet Explorer, mais cette surprise était tout de même prévisible. Rappelons en effet qu'à l'occasion du concours de hacking Pwn2Own organisé dans le cadre de la dernière conférence CanSecWest sur la sécurité informatique, une vulnérabilité IE8 avait été exploitée pour faire tomber une machine équipée Windows 7.
Toutefois, pour les experts en sécurité informatique ( interrogés par Computerworld ), compte tenu des mécanismes de protection inhérents à la conception de Windows Vista ( et donc Windows 7 ), ladite vulnérabilité présente surtout un risque élevé pour les utilisateurs de Windows XP. Ils soulignent également que pour IE8, il s'agit d'une seule vulnérabilité, alors que son prédécesseur IE7 est concerné par sept vulnérabilités... d'où l'intérêt d'un passage à la version 8.
À part IE
Pour ce Patch Tuesday de juin, sont également comblées des vulnérabilités de type exécution de code à distance dans Active Directory ( Windows 2000 Server, Windows Server 2003 et Active Directory en mode application lorsque installé sur Windows XP Pro et Windows Server 2003 ), le spouleur d'impression Windows, Microsoft Office Word et Excel, les convertisseurs Microsoft Works. Si l'indice de gravité cumulé est critique pour chacun des bulletins relatifs, ce n'est pas forcément le cas pour chacune des versions spécifiquement concernées.
Pour les bulletins non critiques, des vulnérabilités d'élévation de privilèges dans le noyau Windows, RPC, IIS ( version inférieure à 7.0 ), ainsi qu'une vulnérabilité dans Windows Search 4.0 ( pas pour Vista ).
Publié le
par Jérôme G.
Journaliste GNT spécialisé en nouvelles technologies
Sur le même sujet
Cette page peut contenir des liens affiliés. Si vous achetez un produit depuis ces liens, le site marchand nous reversera une commission sans que cela n'impacte en rien le montant de votre achat. En savoir plus.