patch-tuesday-mars Comme promis, le Patch Tuesday de mars 2010 est sans commune mesure avec son prédécesseur. Beaucoup plus léger. Il propose deux nouvelles mises à jour de sécurité à l'indice de gravité important pour des vulnérabilités d'exécution de code à distance.

MS10-016 corrige une vulnérabilité dans le logiciel de montage vidéo Windows Movie Maker. Les versions 2.1 et 6.0 présentes par défaut dans Windows XP et Windows Vista sont affectées, au même titre que la version 2.6 qui peut être téléchargée via le Web pour par exemple prendre place au sein de Windows 7. À noter que Microsoft ne fait pas mention d'une vulnérabilité dans Windows Live Movie Maker.

Pour l'exploitation de cette vulnérabilité, un utilisateur doit ouvrir un fichier de projet Movie Maker spécialement conçu ( fichier à l'extension .mswmm ). La vulnérabilité a été signalée de manière confidentielle. Microsoft Producer 2003 est également vulnérable, mais pour ce dernier qui n'a pas de mécanisme de mise à jour automatique, aucun correctif n'est disponible pour le moment.

Producer 2003 est un complément à PowerPoint 2003 et 2002 pour capturer et synchroniser des fichiers audio et vidéo à destination de présentations. Microsoft, qui poursuit ses investigations, conseille de désinstaller Producer 2003 ou d'au moins supprimer  les associations avec les fichiers .mswmm.


Compteur à sept pour Excel
MS010-017 corrige sept vulnérabilités dans Excel. Toutes les versions actuellement supportées sont concernées, ainsi que Office 2004 et 2008 pour Mac, le convertisseur de formats de fichier Open XML pour Mac, toutes les versions Microsoft Office Excel Viewer et du Pack de compatibilité Microsoft Office.

Pour une exploitation, l'utilisateur doit ouvrir un fichier spécialement conçu afin de permettre l'exécution de code à distance. Ces vulnérabilités ont une nouvelle fois été signalées confidentiellement.

On pointera du doigt les " oublis " de ce Patch Tuesday de mars 2010 avec une vulnérabilité dans VBScript qui peut piéger Internet Explorer sous Windows XP ( pas d'attaques signalées ), une vulnérabilité SMB ( Server Message Block ) sous Windows 7 remontant à novembre dernier.