Parmi les bulletins qui attireront l'attention, l'estampillé MS008-045 devra faire l'objet d'une grande considération car relatif au navigateur Internet Explorer. Une mise à jour cumulative pour combler 6 vulnérabilités dont une révélée publiquement et pour laquelle un code exploit existe déjà. Une faille 0-day donc. Internet Explorer 6 ou 7 sous Windows XP ou Vista, c'est le même topo pour une mise à jour qui modifie la façon dont le fureteur traite les objets HTML. Autant dire que le champ d'exploitation semble vaste.
Les correctifs pour IE sont à rapprocher avec un autre pour combler une vulnérabilité détectée dans le contrôle ActiveX Snapshot Viewer pour Microsoft Access, tout simplement parce que l'exploitation se fait via une page Web spécialement conçue. Symantec avait déjà prévenu de la dangerosité de cette faille, d'autant qu'en milieu professionnel ledit contrôle ActiveX est assez répandu (version 2000, 2002 et 2003 d'Access).
Autre mise à jour relativement sensible, celle apportant un correctif à une vulnérabilité d'exécution de code à distance dans la façon dont le moteur de rendu graphique (GDI) traite des images spécialement conçues qui peuvent être véhiculées via le Web. Pour cette vulnérabilité, Windows Vista n'est toutefois pas concerné.
Un autre correctif est à destination d'une faille 0-day dans Microsoft Word (2002, 2003) mais cette vulnérabilité est qualifiée d'importante. Toujours dans le domaine de la bureautique, la dernière version 2007 d'Office n'a pas été oubliée et notamment Excel et PowerPoint pour des vulnérabilités critiques.
D'autres " joyeusetés " sont à découvrir dans la synthèse des bulletins de sécurité, et à noter que par rapport aux prévisions de la semaine dernière, une mise à jour de sécurité est passée à la trappe. Ce n'est certainement que partie remise et probablement pour Windows Media Player.