Cela risque de faire mauvais genre mais seulement quelques jours après avoir publié un correctif comblant la faille 0-day affectant la bibliothèque VLM (Vector Markup Language), le leader mondial du logiciel va devoir s'atteler une nouvelle fois à la tâche.


La loi des séries '
Les deux défauts de sécurité en question sont pour :

Le logiciel de présentation multimédia PowerPoint :
Pour être exploitée, la faille 0-day présente nécessite l'ouverture d'un document PowerPoint corrompu. A éviter donc les mails douteux embarquant des fichiers .ppt / .pps en pièces jointes.

Les versions concernées sont : Microsoft PowerPoint 2000 / 2002, Microsoft Office PowerPoint 2003, Microsoft PowerPoint 2004 pour Mac et Microsoft PowerPoint v. X pour Mac.

Windows (Internet Explorer) :
Pour l'heure pas d'attaque signalée mais l'exploitation d'une erreur dans le code du contrôle ActiveX de Microsoft WebView Folder Icon (Web View) pourrait permettre l'exécution de code arbitraire via la visite d'un site Web piégé avec Internet Explorer.

Vigilance vis à vis des mails, anti-virus / applications à jour et pare-feu actif restent les mesures essentielles de sécurité à respecter et pour être pleinement serein, la désactivation du contrôle ActiveX incriminé est également préconisée.

Le prochain patch tuesday est prévu pour le 10 octobre.

Consulter les bulletins de sécurité 925984, 926043