Patch Tuesday : début d'année léger pour Microsoft

Avec seulement deux mises à jour de sécurité, Microsoft livre une maigre première fournée 2011 de correctifs après avoir atteint des records l'année dernière. Deux mises à jour de sécurité uniquement mais plusieurs vulnérabilités connues demeurent non corrigées.

À déployer en priorité, MS11-002 corrige deux failles dont on soulignera qu'elles ont été divulguées de manière confidentielle. La première faille est critique pour Windows XP, Vista et Windows 7, et la deuxième importante pour toutes les versions supportées de Windows Server. Un bug a été identifié dans Microsoft Data Access Components ( MDAC ), un ensemble de composants qui permet à Windows d'accéder à des bases de données.

Étiqueté important, MS11-001 corrige pour sa part une vulnérabilité divulguée publiquement dans le gestionnaire de sauvegarde de Windows. Elle affecte seulement Windows Vista. Le problème se situe au niveau du chargement d'une bibliothèque logicielle spécialement conçue ( détournement de chargement de DLL ) et placée dans le même répertoire réseau qu'un fichier légitime du gestionnaire de sauvegarde de Windows.


Patch Tuesday trop léger ?
Et ce sera tout pour ce Patch Tuesday de janvier 2011 qui ne permet donc pas de corriger des vulnérabilités récemment rendues publiques. L'une d'elles affecte Graphics Rendering Engine et est parfois qualifiée de faille des miniatures car relative à la manière dont Windows procède pour afficher des miniatures d'images dans les fichiers Microsoft Office.

Une autre faille affecte toutes les versions d'Internet Explorer ( IE6, 7 et 8 ) et un exploit permet de passer outre les protections DEP et ASLR de Windows 7 ( voir notre actualité ). Dans l'attente d'un correctif en bonne et due forme, Microsoft propose toutefois un Fix it qui permet de " vérifier si une feuille de style en cascade est sur le point d'être chargée de manière récursive ". Le cas échéant, le chargement de la page CSS est annulé.