Microsoft comble les trous de Windows

Comme tous les deuxièmes mardi de chaque mois, il était attendu par les utilisateurs Windows et il est venu. Le Patch Tuesday d'avril 2010 de Microsoft a livré ses " secrets " avec dans sa besace pas  mois de 11 mises à jour de sécurité qui serviront à combler 25 vulnérabilités affectant toutes les versions de Windows, Microsoft Office ( XP, 2003 et 2007 pour Publisher et Visio ) ou encore Microsoft Exchange Server ( 2000, 2003, 2007 et 2010 ).

Microsoft conseille d'appliquer tous les correctifs proposés, mais si des priorités doivent être établies, elle doivent être en rapport avec trois mises à jour :

• MS10-019 : cette mise à jour corrige deux vulnérabilités présentes dans toutes les versions de Windows, et donc Windows 7 compris. Ces vulnérabilités d'exécution de code à distance touchent la vérification Authenticode. La mise à jour ajoute des opérations de vérification lors de la signature et de la vérification d'un fichier exécutable portable ( PE ) ou fichier Cab.

• MS10-026  : cette mise à jour est critique pour Windows 2000, XP, Server 2003 et 2008, et importante pour Windows Vista alors que Windows 7 n'est pas concerné. Une vulnérabilité d'exécution de code à distance présente dans les codecs audio Microsoft MPEG Layer-3 peut être exploitée via la consultation d'une page Web hébergeant un fichier AVI spécialement conçu.

• MS10-027 : seuls les utilisateurs Windows 2000 et Windows XP sont concernés par une vulnérabilité critique d'exécution de code à distance qui est en réalité présente dans le lecteur Windows Media 9. La mise à jour corrige la façon dont le contrôle ActiveX du lecteur traite du contenu multimédia spécialement conçu hébergé sur un site Web malveillant.

Ci-dessous, deux graphiques portant sur l'ordre prioritaire des déploiements, un résumé des sytèmes touchés par chaque mise à jour de sécurité proposée pour ce mois :

On notera que Microsoft a corrigé des vulnérabilités dans le client SMB ( Server Message Block ) qui traînaient depuis le mois de novembre 2009, de même pour une vulnérabilité dans le moteur de script VBScript dévoilée publiquement début mars ( anciennes versions de Windows ).