Windows XP patch pansement En prélude au deuxième mardi de chaque mois placé sous le signe des mises à jour de sécurité, Microsoft aime tenir en haleine ses clients afin qu'ils soient prêts à tester et déployer la prochaine fournée de correctifs. C'est l'objet d'un préavis non détaillé concernant les bulletins à venir que vient de publier Microsoft et qui prédit - des changements de dernière minute sont toujours possibles – un  Patch Tuesday d'août pour le moins chargé.


Douze mises à jour de sécurité
A prévoir pour mardi 12 août, une bonne douzaine de mises à jour de sécurité pour corriger un ensemble de vulnérabilités affectant Windows, Office, Internet Explorer et Windows Media Player. Pour les bulletins liés, sept devraient être qualifiés de critiques tandis que les 5 autres seront à priori importants. Rappelons que l'indice de gravité critique fait référence à une vulnérabilité dont l'exploitation peut permettre de propager un ver Internet sans aucune interaction utilisateur; le terme important étant réservé à une vulnérabilité susceptible d'entraîner la compromission de données confidentielles,  de porter atteinte à la disponibilité de ressources de traitement.

Quatre des sept mises à jour critiques s'adresseront à la suite bureautique Office. Les trois autres critiques seront pour Windows (Vista épargné) ainsi que pour le navigateur Internet Explorer 6 / 7 et le lecteur mutimédia Windows Media Player version 11. Pour IE et WMP, les versions présentes par défaut dans Windows Vista seront à corriger.

On sait déjà qu'au moins une des ces vulnérabilités jugées critiques est exploitée. Il s'agit de la vulnérabilité identifiée dans le contrôle ActiveX Snapshot Viewer livré avec Access. L'éditeur Symantec a récemment indiqué que le kit d'attaque NeoSploit a été mis à jour pour prendre en compte ce trou de sécurité. Il se pourrait par ailleurs que le correctif salvateur soit également à prodiguer pour IE mais pour son navigateur, Microsoft doit aussi encore combler une faille dont le risque devenait réel en combinaison avec une version anciennement vulnérable de Safari d'Apple.

Parmi les cinq bulletins importants, deux s'adresseront à Windows dont un uniquement pour les versions les plus récentes, à savoir Windows Vista et Server 2008. Word (2002, 2003) sera également concerné, au même titre qu'une ancienne version de Messenger, Outlook Express et son successeur sous Vista, Windows Mail.

Cette semaine, Microsoft a annoncé deux initiatives pour d'une part fournir en avant-première aux chercheurs en sécurité plus de détails techniques sur les mises à jour à venir dans le Patch Tuesday, et pour mieux informer les utilisateurs sur la dangerosité réelle d'une faille (nouvel index d'exploitabilité). Ces mesures entreront en vigueur à partir du mois d'octobre.