Patch-tuesday-aout-2009 La firme de Redmond a mis en ligne neuf mises à jour de sécurité afin de corriger un ensemble de dix-neuf vulnérabilités. Parmi ces neuf mises à jour, cinq sont affublées de l'indice de gravité maximal, à savoir critique, pour des vulnérabilités de type exécution de code à distance. L'indice est  important pour les quatre autres mises à jour.

Sur les neuf mises à jour, huit concernent Windows et la dernière concerne Office Web Components. Microsoft souligne par ailleurs que pour sept mises à jour, l'indice d'exploitabilité est de 1, ce qui signifie que dans les prochains jours, le risque est grand de voir apparaître un code exploit si ce n'est déjà le cas comme avec des vulnérabilités affectant Active Template Library.


Encore pour ATL
ATL est utilisé par Microsoft et des développeurs tiers pour la création de contrôles ActiveX, d'éléments d'une application. Le 28 juillet dernier, Microsoft avait déjà publié en urgence une mise à jour de sécurité afin de corriger des vulnérabilités liées dans Internet Explorer et Visual Studio, tandis que Adobe avait fait de même pour notamment Flash Player.

Rebelote suite à la découverte de nouvelles failles dans ATL. L'ensemble des systèmes Windows est concerné par cette mise à jour à l'exception notable de Windows 7 et Windows Server 2008 R2, tandis que divers composants sont pointés du doigt à l'instar d'Outlook Express, Windows Media Player, des contrôles ActiveX de Microsoft. Plusieurs experts en sécurité informatique prédisent déjà de nouvelles failles dans ATL.

La mise à jour non-Windows est relative à Office Web Components avec dans le spectre des produits touchés Microsoft Office 2003, XP. Bien que cette mise à jour corrige un problème ActiveX, il est sans relation avec le problème propre à ATL.

Les utilisateurs de Windows Server 2000, 2003 qui exécutent le service WINS ( Windows Internet Name Service ) doivent prendre en compte la correction de deux vulnérabilités d'exécution de code à distance. Microsoft rappelle néanmoins que par défaut, WINS n'est pas installé.

On notera également la correction de deux vulnérabilités dans Windows liées à la manière dont les fichiers vidéo AVI sont manipulés, ou encore la correction de vulnérabilités dans la Connexion Bureau à distance Microsoft et ce jusque dans le client pour Mac.


La synthèse des bulletins de sécurité Microsoft d'août 2009