Windows XP patch pansement Pour boucler sa série 2008 de Patch Tuesday, Microsoft a eu du pain sur la planche. Ce n'est pas tant le nombre de bulletins de sécurité publiés qui est important avec un total de huit, mais plus le nombre de vulnérabilités corrigées, soit tout de même 28 dans Windows, Office, Internet Explorer et autres applications. Selon ComputerWorld, on est ici en présence du plus grand nombre de correctifs délivrés depuis plus de cinq ans par Microsoft et l'adoption d'un cycle de sécurité mensuel.

Six des huit bulletins sont qualifiés de critiques et relatifs à des vulnérabilités dont l'exploitation permet l'exécution de code arbitraire à distance via un fichier spécialement formé ou une page Web.  Parmi les logiciels affectés par des failles critiques, Internet Explorer, Windows Search présent dans Windows Vista et Server 2008, des contrôles ActiveX dans Visual Basic ou encore l'ensemble des Windows pour des vulnérabilités dans Graphics Interface Device (GDI).

Microsoft Office a également droit à des rustines dans ses différentes éditions dont celles pour Mac, avec plus précisément visés Word et Excel. Les deux bulletins qualifiés d'importants intéressent Microsoft Office Sharepoint et les composants Windows Media Format.

A noter pour les vulnérabilités ActiveX de l'environnement d'exécution de Visual Basic 6.0, qu'un code d'exploitation a été rendu public. Plus de détails sur ce Patch Tuesday copieux sont proposés à cette adresse.


Bulletins critiques :
  • MS08-070 (6 vulnérabilités corrigées) : corrige cinq vulnérabilités signalées confidentiellement et une vulnérabilité révélée publiquement concernant les contrôles ActiveX des fichiers étendus de l'environnement d'exécution Microsoft Visual Basic 6.0. Ces vulnérabilités pourraient permettre l'exécution de code à distance si un utilisateur parcourait un site Web au contenu spécialement conçu.
  • MS08-071 (2 vulnérabilités corrigées) : corrige deux vulnérabilités dans GDI (Windows) signalées confidentiellement. L'exploitation de l'une de ces vulnérabilités pourrait permettre l'exécution de code à distance si un utilisateur ouvrait un fichier image WMF spécialement conçu.
  • MS08-072 (8 vulnérabilités corrigées) : corrige huit vulnérabilités signalées confidentiellement dans Microsoft Office Word et Office Outlook qui pourraient permettre l'exécution de code à distance si un utilisateur ouvrait un fichier Word ou texte riche (RTF) spécialement conçu.
  • MS08-073 (4 vulnérabilités corrigées) : corrige quatre vulnérabilités signalées confidentiellement qui pourraient permettre l'exécution de code à distance si un utilisateur affichait une page Web spécialement conçue à l'aide d'Internet Explorer.
  • MS08-074 (3 vulnérabilités corrigées) : corrige trois vulnérabilités signalées confidentiellement dans Microsoft Office Excel, qui pourraient permettre l'exécution de code à distance si un utilisateur ouvrait un fichier Excel spécialement conçu.
  • MS08-075 (2 vulnérabilités corrigées) : corrige deux vulnérabilités dans Windows Search signalées confidentiellement, qui pourraient permettre l'exécution de code à distance si un utilisateur ouvre et enregistre un fichier de recherche enregistrée spécialement conçu dans l'Explorateur Windows ou si un utilisateur clique sur une URL de recherche spécialement conçue.

Bulletins importants :
  • MS08-076 (2 vulnérabilités corrigées) : corrige deux vulnérabilités signalées confidentiellement dans les composants Windows Media que sont Lecteur Windows Media, module d'exécution du format Windows Media et Windows Media Services.
  • MS08-077 (1 vulnérabilité corrigée) : corrige une vulnérabilité signalée confidentiellement dans Microsoft Office SharePoint, qui pourrait permettre une élévation de privilèges si un attaquant contournait l'authentification en naviguant vers une URL d'administration sur un site SharePoint.