Une fois n'est pas si souvent coutume, la firme de Redmond déroge à la règle du traditionnel Patch Tuesday intervenant tous les deuxièmes mardis du mois et publie une mise à jour de sécurité afin de prendre en charge plusieurs vulnérabilités 0-day et donc sujettes à des exploitations, dans des composants graphiques de Windows.

Parmi elles, une liée à la manipulation incorrecte des fichiers à l'extension .ani (formats de curseurs et d'icônes) intéressant Windows 2000 SP4, XP SP2, Server 2003 SP1 / SP2, Vista  pour laquelle le leader mondial du logiciel avait décidé en fin de semaine dernière de mener de plus amples investigations.


Sept vulnérabilités découvertes en tout
Cette enquête s'est ainsi avérée fructueuse, Microsoft ayant également identifié :
  • Une vulnérabilité d'élévation locale des privilèges dans GDI pour Graphical Device Interface (Windows Server 2003 et Vista non concernés).
  • Une vulnérabilité de déni de service dans Windows Metafile Format (Vista non concerné).
  • Une vulnérabilité d'élévation des privilèges dans Enhanced Metafile Format.
  • Une vulnérabilité d'élévation de privilèges liée à une taille de fenêtre non valide dans GDI (Windows Server 2003 non concerné).
  • Une vulnérabilité d'élévation locale des privilèges liée à un paramètre incorrect dans GDI.
  • Une vulnérabilité liée au tramage des polices (seul Windows 2000 est affecté).
Avec la dite vulnérabilité d'exécution de code à distance dans les curseurs animés Windows, la gravité cumulée de l'ensemble de ces failles est qualifiée de critique.

Pour plus de détails, consulter le bulletin de sécurité Microsoft MS07-017 où sont mentionnés les liens renvoyant vers la mise à jour adaptée à chaque version de Windows concernée.