[info] Mise à jour mensuelle

Le
Stéphane [MS]
Bonsoir à tous,

Vous trouverez, ci-dessous, le détail (en anglais) des correctifs du mois
d'octobre.

En résumé, Microsoft publie 10 bulletins de sécurité relatifs à Microsoft
Office, Microsoft Windows et Microsoft Exchange.

Trois bulletins sont évalués au niveau Important et sept sont jugés
critiques.

En complément, Microsoft met a jour un bulletin déjà publié autour de
Microsoft Office XP. Cette mise à jour ne concerne que l'utilisation
d'Office XP sur Windows XP Service Pack 2. Les autres systèmes ne changent
pas. Nottons, au passage, que cette mise à jour est le seul bulletin qui est
relatif à Windows XP Service Pack 2 ; ce qui démontre l'intérêt d'appliquer
ce service pack lorsque vous pouvez le faire !

Cdlt
Stéphane

Texte original en anglais :

Microsoft is releasing 10 security bulletins for newly discovered
vulnerabilities in Microsoft Office, Microsoft Windows and Microsoft
Exchange.



Important MS04-029 Microsoft Windows Information Disclosure and
Denial of Service

Important MS04-030 Microsoft Windows Denial of Service

Important MS04-031 Microsoft Windows Remote Code Execution

Critical MS04-032 Microsoft Windows Remote Code Execution

Critical MS04-033 Microsoft Office Code Execution

Critical MS04-034 Microsoft Windows Remote Code Execution

Critical MS04-035 Microsoft Windows, Microsoft Exchange
Remote Code Execution

Critical MS04-036 Microsoft Windows, Microsoft Exchange
Remote Code Execution

Critical MS04-037 Microsoft Windows Remote Code Execution

Critical MS04-038 Microsoft Windows Remote Code Execution



Summaries for these new bulletins may be found at the following pages:

- http://www.microsoft.com/technet/security/bulletin/ms04-oct.mspx



Re-issued Updates

In addition, Microsoft is re-releasing updates for Microsoft Office XP.



Critical MS04-028 Microsoft Office XP, Project 2002, Visio 2002,Windows
Journal Viewer Remote Code Execution



This revised update is ONLY for customers running Office XP, Visio 2002 and
Project 2002 on Windows XP Service Pack 2. This re-release does not affect
any other products. This re-release also does not affect customers running
Office XP, Visio 2002 and Project 2002 on platforms other than Windows XP
Service Pack 2, including Windows XP SP1.



This new update is for Windows Journal Viewer ONLY.



Information on this re-released bulletin and these tools may be found at the
following pages:

- http://www.microsoft.com/technet/security/bulletin/MS04-028.mspx



Customers are advised to review the information in the bulletins, test and
deploy the updates immediately in their environments, if applicable.



RESOURCES RELATED TO THIS ALERT



- Note: Some Knowledge Base articles may take up to 24 hours to appear.



- Microsoft Knowledge Base Article 885876 documents the issues around the
original release of this security update for Office XP, Visio 2002 and
Project 2002 on Windows XP Service Pack 2.

http://support.microsoft.com/?kbidˆ5876



- Microsoft Knowledge Base Article 886988 documents the MS04-028 Enterprise
Scanning Tool.

http://support.microsoft.com/?kbidˆ6988



- Information about MS04-028 for ISVs and developers is available here:

http://msdn.microsoft.com/security/default.aspx?pull=/library/en-us/dnsecure/html/gdiplus10security.asp



- Please visit http://www.microsoft.com/technet/security for the most
current information on this alert.



Microsoft will host a webcast tomorrow to address customer questions on
these bulletins. For more information on this webcast please see below:

- Information about Microsoft's October Security Bulletins

- Wednesday, October 13, 2004 11:00 AM (GMT-08:00) Pacific Time (US &
Canada)

-
http://msevents.microsoft.com/cui/WebCastEventDetails.aspx?EventID32259702&Culture=en-US



The on-demand version of the webcast will be available 24 hours after the
live webcast at:

-
http://msevents.microsoft.com/cui/WebCastEventDetails.aspx?EventID32259702&Culture=en-US





**********************************************************************

TECHNICAL DETAILS



MS04-029

Title: Vulnerability in RPC Runtime Library Could Allow Information
Disclosure and Denial of Service (873350)



Affected Software:

- Microsoft Windows NT Server 4.0 Service Pack 6a

- Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack 6



Impact of Vulnerability: Information Disclosure and Denial of Service



Maximum Severity Rating: Important



Restart required: In some cases, this update does not require a restart.
The installer stops the needed services, applies the update, and then
restarts the services. However, if the required services cannot be stopped
for any reason or if required files are in use, this update will require a
restart. If this occurs, a message appears that advises you to restart.



Update can be uninstalled: Yes



More information on this vulnerability is available at:
http://www.microsoft.com/technet/security/bulletin/MS04-029.mspx



**********************************************************************

MS04-030

Title: Vulnerability in WebDav XML Message Handler Could Lead to a Denial
of Service (824151)



Affected Software:

- Microsoft Windows 2000 Service Pack 3 and Microsoft Windows 2000 Service
Pack 4

- Microsoft Windows XP, Microsoft Windows XP Service Pack 1 and Microsoft
Windows XP Service Pack 2

- Microsoft Windows XP 64-Bit Edition Service Pack 1

- Microsoft Windows XP 64-Bit Edition Version 2003

- Microsoft Windows ServerT 2003

- Microsoft Windows Server 2003 64-Bit Edition



Affected Components:

- Internet Information Server 5.0

- Internet Information Services 5.1

- Internet Information Server 6.0



Impact of Vulnerability: Denial of Service



Maximum Severity Rating: Important



Restart required: In some cases, this update does not require a restart. The
installer stops the required services, applies the update, and then restarts
the services. However, if the required services cannot be stopped for any
reason or if required files are in use, this update will require a restart.
If this occurs, a message appears that advises you to restart.



Update can be uninstalled: Yes



More information on this vulnerability is available at:
http://www.microsoft.com/technet/security/bulletin/MS04-030.mspx



**********************************************************************

MS04-031

Title: Vulnerability in NetDDE Could Allow Remote Code Execution (841533)



Affected Software:

- Microsoft Windows NT Server 4.0 Service Pack 6a

- Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack 6

- Microsoft Windows 2000 Service Pack 3 and Microsoft Windows 2000 Service
Pack 4

- Microsoft Windows XP and Microsoft Windows XP Service Pack 1

- Microsoft Windows XP 64-Bit Edition Service Pack 1

- Microsoft Windows XP 64-Bit Edition Version 2003

- Microsoft Windows Server 2003

- Microsoft Windows Server 2003 64-Bit Edition

- Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE), and
Microsoft Windows Millennium Edition (Me) - Review the FAQ section of this
bulletin for details about these operating systems.



Impact of Vulnerability: Remote Code Execution



Maximum Severity Rating: Important



Restart required: In some cases, this update does not require a restart. The
installer stops the required services, applies the update, and then restarts
the services. However, if the required services cannot be stopped for any
reason or if required files are in use, this update will require a restart.
If this occurs, a message appears that advises you to restart.



Update can be uninstalled: Yes



More information on this vulnerability is available at:
http://www.microsoft.com/technet/security/bulletin/MS04-031.mspx



**********************************************************************

MS04-032

Title: Security Update for Microsoft Windows (840987)



Affected Software:

- Microsoft Windows NT Server 4.0 Service Pack 6a

- Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack 6

- Microsoft Windows 2000 Service Pack 3 and Microsoft Windows 2000 Service
Pack 4

- Microsoft Windows XP and Microsoft Windows XP Service Pack 1

- Microsoft Windows XP 64-Bit Edition Service Pack 1

- Microsoft Windows XP 64-Bit Edition Version 2003

- Microsoft Windows ServerT 2003

- Microsoft Windows Server 2003 64-Bit Edition

- Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE), and
Microsoft Windows Millennium Edition (Me) - Review the FAQ section of this
bulletin for details about these operating systems.



Impact of Vulnerability: Remote Code Execution



Maximum Severity Rating: Critical



Restart required: In some cases, this update does not require a restart. The
installer stops the required services, applies the update, and then restarts
the services. However, if the required services cannot be stopped for any
reason or if required files are in use, this update will require a restart.
If this occurs, a message appears that advises you to restart.



Update can be uninstalled: Yes



More information on this vulnerability is available at:
http://www.microsoft.com/technet/security/bulletin/MS04-032.mspx



**********************************************************************

MS04-033

Title: Vulnerability in Microsoft Excel Could Allow Code Execution(886836)



Affected Software:

- Microsoft Office 2000 Service Pack 3 Software: Excel 2000

- Microsoft Office XP Software: Excel 2002

- Microsoft Office 2001 for Mac: Microsoft Excel 2001 for Mac

- Microsoft Office v. X for Mac: Microsoft Excel v. X for Mac



Impact of Vulnerability: Code Execution



Maximum Severity Rating: Critical



Restart required: No



Update can be uninstalled: No



More information on this vulnerability is available at:
http://www.microsoft.com/technet/security/bulletin/MS04-033.mspx



**********************************************************************

MS04-034

Title: Vulnerability in Compressed (zipped) Folders Could Allow Code
Execution (873376)



Affected Software:

- Microsoft Windows XP and Microsoft Windows XP Service Pack 1

- Microsoft Windows XP 64-Bit Edition Service Pack 1

- Microsoft Windows XP 64-Bit Edition Version 2003

- Microsoft Windows Server 2003

- Microsoft Windows Server 2003 64-Bit Edition



Impact of Vulnerability: Remote Code Execution



Maximum Severity Rating: Critical



Restart required: In some cases, this update does not require a restart.
The installer stops the required services, applies the update, and then
restarts the services. However, if the required services cannot be stopped
for any reason or if required files are in use, this update will require a
restart. If this occurs, a message appears that advises you to restart.



Update can be uninstalled: Yes



More information on this vulnerability is available at:
http://www.microsoft.com/technet/security/bulletin/MS04-034.mspx



**********************************************************************

MS04-035

Title: Vulnerability in SMTP Could Allow Remote Code Execution (885881)



Affected Software:

- Microsoft Windows XP 64-Bit Edition Version 2003

- Microsoft Windows Server 2003

- Microsoft Windows Server 2003 64-Bit Edition

- Microsoft Exchange Server 2003 and Microsoft Exchange Server 2003 Service
Pack 1 when installed on Microsoft Windows Server 2003 (uses the Windows
2003 SMTP component)

- Microsoft Exchange Server 2003 when installed on Microsoft Windows 2000
Service Pack 3 or Microsoft Windows 2000 Service Pack 4



Affected Components:

- Microsoft Windows XP 64-Bit Edition Version 2003 SMTP component

- Microsoft Windows ServerT 2003 SMTP component

- Microsoft Windows Server 2003 64-Bit Edition SMTP component

- Microsoft Exchange Server 2003 Routing Engine component



Impact of Vulnerability: Remote Code Execution



Maximum Severity Rating: Critical



Restart required: You must restart your system after you apply this
security update.



Update can be uninstalled:



More information on this vulnerability is available at:
http://www.microsoft.com/technet/security/bulletin/MS04-035.mspx



**********************************************************************

MS04-036

Title: Vulnerability in NNTP Could Allow Code Execution (883935)



Affected Software:

- Microsoft Windows NT Server 4.0 Service Pack 6a

- Microsoft Windows 2000 Server Service Pack 3 and Microsoft Windows 2000
Server Service Pack 4

- Microsoft Windows ServerT 2003

- Microsoft Windows Server 2003 64-Bit Edition

- Microsoft Exchange 2000 Server Service Pack 3 (Uses Windows 2000 NNTP
Component)

- Microsoft Exchange Server 2003 (Uses Windows 2000 or Windows Server 2003
NNTP Component)



Affected Components:

- Microsoft Windows NT Server 4.0 Service Pack 6a NNTP Component

- Microsoft Windows 2000 Server Service Pack 3 NNTP Component and Microsoft
Windows 2000 Server Service Pack 4 NNTP Component

- Microsoft Windows ServerT 2003 NNTP Component

- Microsoft Windows Server 2003 64-Bit Edition NNTP Component



Impact of Vulnerability: Remote Code Execution



Maximum Severity Rating: Critical



Restart required: In some cases, this update does not require a restart.
The installer stops the required services, applies the update, and then
restarts the services. However, if the required services cannot be stopped
for any reason or if required files are in use, this update will require a
restart. If this occurs, a message appears that advises you to restart.



Update can be uninstalled: Yes



More information on this vulnerability is available at:
http://www.microsoft.com/technet/security/bulletin/MS04-036.mspx



**********************************************************************

MS04-037

Title: Vulnerability in Windows Shell Could Allow Remote Code Execution
(841356)



Affected Software:

- Microsoft Windows NT Server 4.0 Service Pack 6a

- Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack 6

- Microsoft Windows 2000 Service Pack 3, Microsoft Windows 2000 Service
Pack 4

- Microsoft Windows XP and Microsoft Windows XP Service Pack 1

- Microsoft Windows XP 64-Bit Edition Service Pack 1

- Microsoft Windows XP 64-Bit Edition Version 2003

- Microsoft Windows Server 2003

- Microsoft Windows Server 2003 64-Bit Edition

- Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE), and
Microsoft Windows Millennium Edition (Me) - Review the FAQ section of this
bulletin for details about these operating systems.

Impact of Vulnerability: Remote Code Execution



Maximum Severity Rating: Critical



Restart required: In some cases, this update does not require a restart.
The installer stops the required services, applies the update, and then
restarts the services. However, if the required services cannot be stopped
for any reason or if required files are in use, this update will require a
restart. If this occurs, a message appears that advises you to restart.



Update can be uninstalled: Yes



More information on this vulnerability is available at:
http://www.microsoft.com/technet/security/bulletin/MS04-037.mspx



**********************************************************************

MS04-038

Title: Cumulative Security Update for Internet Explorer (834707)



Affected Software:

- Microsoft Windows NT Server 4.0 Service Pack 6a

- Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack 6

- Microsoft Windows 2000 Service Pack 3 and Microsoft Windows 2000 Service
Pack 4

- Microsoft Windows XP, Microsoft Windows XP Service Pack 1, and Microsoft
Windows XP Service Pack 2

- Microsoft Windows XP 64-Bit Edition Service Pack 1

- Microsoft Windows XP 64-Bit Edition Version 2003

- Microsoft Windows Server 2003

- Microsoft Windows Server 2003 64-Bit Edition

- Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE), and
Microsoft Windows Millennium Edition (Me) - Review the FAQ section of this
bulletin for details about these operating systems.



Affected Components:

- Internet Explorer 5.01 Service Pack 3

- Internet Explorer 5.01 Service Pack 4

- Internet Explorer 5.5 Service Pack 2 on Microsoft Windows Me

- Internet Explorer 6

- Internet Explorer 6 Service Pack 1 on Microsoft Windows 2000 Service Pack
3, Microsoft Windows Service Pack 4, Microsoft Windows XP, Microsoft Windows
XP Service Pack 1

- Internet Explorer 6 Service Pack 1 on Microsoft Windows NT Server 4.0
Service Pack 6a, Microsoft Windows NT Server 4.0 Terminal Service Edition
Service Pack 6, Microsoft Windows 98, Microsoft Windows 98 SE, and Microsoft
Windows Me

- Internet Explorer 6 Service Pack 1 (64-Bit Edition)

- Internet Explorer 6 for Windows Server 2003

- Internet Explorer 6 for Windows Server 2003 (64-Bit Edition)

- Internet Explorer 6 for Windows XP Service Pack 2



Impact of Vulnerability: Remote Code Execution



Maximum Severity Rating: Critical



Restart required: You must restart your system after you apply this security
update. You do not have to use an administrator logon after the computer
restarts for any version of this update.



Update can be uninstalled: Yes



More information on this vulnerability is available at:
http://www.microsoft.com/technet/security/bulletin/MS04-038.mspx



**********************************************************************

MS04-028

Title: Buffer Overrun in JPEG Processing Could Allow Code Execution
(833987)



Affected Software (Re-release only):

- Microsoft Office XP Service Pack 3

- Microsoft Word 2002

- Microsoft Excel 2002

- Microsoft Outlook 2002

- Microsoft PowerPoint 2002

- Microsoft Project 2002 (All Versions)

- Microsoft Visio 2002 (All Versions)



Affected Component (New release only):

- Windows Journal Viewer



Reason for Re-issue: After the release of the MS04-028 security bulletin,
Microsoft was made aware of an issue affecting customers deploying the
Office XP, Visio 2002, and Project 2002 updates on Windows XP Service Pack 2
based systems. This issue caused the security updates to appear to install
correctly, when in fact they did not. This is an issue with the installer
used in the security update. The updated versions of the affected files do
successfully address this vulnerability. Although Windows XP Service Pack 2
already contains the security update addressing the vulnerability in the
JPEG Parsing Engine that is supplied by the operating system, customers
still need to successfully apply the security update for Office XP, Vision
2002, and Project 2002 in order to be protected from this vulnerability when
using these applications. For more technical details on this issue, see
Microsoft Knowledge Base Article 885876.



More information on this re-issued bulletin is available at:
http://www.microsoft.com/technet/security/bulletin/MS04-028.mspx



Information on Windows Journal Viewer: The Windows Journal Viewer makes it
possible for users who do not have a system running Windows XP Tablet PC
Edition to view files that were created in Windows Journal on a Tablet PC.
The Windows Journal Viewer is vulnerable to the security vulnerability
discussed in this bulletin. However, when used on Windows XP based systems,
the Windows Journal Viewer uses the operating system supplied version of the
affected component. When the Windows XP operating system update is applied
on Windows XP and Windows XP Service Pack 1 based systems the Windows
Journal Viewer is no longer vulnerable to this issue. Windows XP Service
Pack 2 is not vulnerable to this issue, therefore the Windows Journal Viewer
when used on Windows XP Service Pack 2 based systems is not vulnerable to
this issue. We have now released a security update for Windows Journal
Viewer that will help protect Windows 2000-based systems that may have
installed the Windows Journal Viewer.



Even if you have installed all of the previously available security updates
on Windows 2000, if you have installed the Windows Journal Viewer, it is
important that you also install this security update. Windows Update will
offer this update only to Windows 2000-based systems that have installed the
Windows Journal Viewer. If you are using Windows XP or have not installed
the Windows Journal Viewer on Windows 2000, you do not need this security
update. This program is not supported on Windows Server 2003. However, if it
were installed on Windows Server 2003, it would also use the operating
system version of the vulnerable component. If you are using this program on
Windows Server 2003 make sure that you install the Windows Server 2003
security update.



PLEASE VISIT http://www.microsoft.com/technet/security FOR THE MOST CURRENT
INFORMATION ON THESE ALERTS.
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
~Jean-Marc~ [MVP]
Le #35169
Salutations *Stéphane [MS]* !
Dans http://groups.google.fr/groups?threadm=
tu nous disais :
En complément, Microsoft met a jour un bulletin déjà publié autour de
Microsoft Office XP. Cette mise à jour ne concerne que l'utilisation
d'Office XP sur Windows XP Service Pack 2. Les autres systèmes ne
changent pas. Nottons, au passage, que cette mise à jour est le seul
bulletin qui est relatif à Windows XP Service Pack 2 ; ce qui
démontre l'intérêt d'appliquer ce service pack lorsque vous pouvez le
faire !


Désolé Stéphane, mais il y a une mise à jour qui concerne le SP2 et qui est
aussi (voire plus) importante :
http://www.microsoft.com/technet/security/Bulletin/ms04-038.mspx

AMHA, si il fallait n'en passer qu'une, ce serait celle là.

@+

--
~Jean-Marc~ MSAE & MVP Windows XP Fr
M'écrire : http://msmvps.com/docxp/contact.aspx
- http://perso.wanadoo.fr/doc.jm/ - http://msmvps.com/docxp/ -
Aide en DIRECT sur Internet : http://communautes-ms.akro-net.org/

Stéphane [MS]
Le #35168
AMHA, sur des postes sous Windows XP Service Pack, ce correctif est
totalement inutile (ce n'est qu'une opinion personnelle). Le seul correctif
apporté concerne le Drap&Drop d'éléments dans la fenêtre d'Internet
Explorer. A moins de devenir complètement stupide, je ne ferais jamais une
telle opération sur un site dont je ne serais pas absolument sûr.

Je serais nettement moins tranquille pour ce qui est des failles critiques
qui permettent de l'exécution de code (32 à 37)...

Cdlt
Stéphane

"~Jean-Marc~ [MVP]" news:
Salutations *Stéphane [MS]* !
Dans
http://groups.google.fr/groups?threadm=
tu nous disais :
En complément, Microsoft met a jour un bulletin déjà publié autour de
Microsoft Office XP. Cette mise à jour ne concerne que l'utilisation
d'Office XP sur Windows XP Service Pack 2. Les autres systèmes ne
changent pas. Nottons, au passage, que cette mise à jour est le seul
bulletin qui est relatif à Windows XP Service Pack 2 ; ce qui
démontre l'intérêt d'appliquer ce service pack lorsque vous pouvez le
faire !


Désolé Stéphane, mais il y a une mise à jour qui concerne le SP2 et qui
est
aussi (voire plus) importante :
http://www.microsoft.com/technet/security/Bulletin/ms04-038.mspx

AMHA, si il fallait n'en passer qu'une, ce serait celle là.

@+

--
~Jean-Marc~ MSAE & MVP Windows XP Fr
M'écrire : http://msmvps.com/docxp/contact.aspx
- http://perso.wanadoo.fr/doc.jm/ - http://msmvps.com/docxp/ -
Aide en DIRECT sur Internet : http://communautes-ms.akro-net.org/



Thierry MILLE [MVP]
Le #35166
"~Jean-Marc~ [MVP]" news:
Salutations *Stéphane [MS]* !
Dans
http://groups.google.fr/groups?threadm=
tu nous disais :
Désolé Stéphane, mais il y a une mise à jour qui concerne le SP2 et qui
est
aussi (voire plus) importante :
http://www.microsoft.com/technet/security/Bulletin/ms04-038.mspx

AMHA, si il fallait n'en passer qu'une, ce serait celle là.


C'est aussi l'avis de Microsoft (source : Windows Update version 5
"consulter les mises à jour prioritaires").

Amicalement

--
Thierry MILLE
www.lab-os.com

~Jean-Marc~ [MVP]
Le #35165
Salutations *Stéphane [MS]* !
Dans http://groups.google.fr/groups?threadm=
tu nous disais :
AMHA, sur des postes sous Windows XP Service Pack, ce correctif est
totalement inutile (ce n'est qu'une opinion personnelle). Le seul
correctif apporté concerne le Drap&Drop d'éléments dans la fenêtre
d'Internet Explorer. A moins de devenir complètement stupide, je ne
ferais jamais une telle opération sur un site dont je ne serais pas
absolument sûr.


Justement, c'est celle-ci qui est importante. Un PoC existe qui prouve que
le D&D peut être sénéré par javascript à partir d'un défilement de l'ascenseur
vertical. (et là, ça devient bien plus dangereux)

Cordialement

--
~Jean-Marc~ MSAE & MVP Windows XP Fr
M'écrire : http://msmvps.com/docxp/contact.aspx
- http://perso.wanadoo.fr/doc.jm/ - http://msmvps.com/docxp/ -
Aide en DIRECT sur Internet : http://communautes-ms.akro-net.org/

~Jean-Marc~ [MVP]
Le #35162
Salutations *~Jean-Marc~ [MVP]* !
Dans http://groups.google.fr/groups?threadm=
tu nous disais :
le D&D peut être sénéré par javascript


Lire "généré", bien sur...

@+

--
~Jean-Marc~ MSAE & MVP Windows XP Fr
M'écrire : http://msmvps.com/docxp/contact.aspx
- http://perso.wanadoo.fr/doc.jm/ - http://msmvps.com/docxp/ -
Aide en DIRECT sur Internet : http://communautes-ms.akro-net.org/

Stéphane [MS]
Le #32671
Bonjour,

Veuillez accepter toutes mes excuses ; il apparaît effectivement que ce
bulletin est, effectivement, critique pour tous les systèmes d'exploitation
en incluant le service pack 2 de Windows XP. Des messages commencent à
circuler qui exploitent cette faille.

Cdlt
Stéphane

"~Jean-Marc~ [MVP]" news:
Salutations *~Jean-Marc~ [MVP]* !
Dans
http://groups.google.fr/groups?threadm=
tu nous disais :
le D&D peut être sénéré par javascript


Lire "généré", bien sur...

@+

--
~Jean-Marc~ MSAE & MVP Windows XP Fr
M'écrire : http://msmvps.com/docxp/contact.aspx
- http://perso.wanadoo.fr/doc.jm/ - http://msmvps.com/docxp/ -
Aide en DIRECT sur Internet : http://communautes-ms.akro-net.org/



Olivier Pont [MS]
Le #32668
Stéphane :
http://www.mikx.de/scrollbar/

Celui-la a l'air suspect je te l'accorde ; m'empêche le concept fait froid
dans le dos !
N'importe qui sans molette sur la souris peut tompber dans ce panneau.

Olivier

"Stéphane [MS]" news:
AMHA, sur des postes sous Windows XP Service Pack, ce correctif est
totalement inutile (ce n'est qu'une opinion personnelle). Le seul
correctif apporté concerne le Drap&Drop d'éléments dans la fenêtre
d'Internet Explorer. A moins de devenir complètement stupide, je ne ferais
jamais une telle opération sur un site dont je ne serais pas absolument
sûr.

Je serais nettement moins tranquille pour ce qui est des failles critiques
qui permettent de l'exécution de code (32 à 37)...

Cdlt
Stéphane

"~Jean-Marc~ [MVP]" de news:
Salutations *Stéphane [MS]* !
Dans
http://groups.google.fr/groups?threadm=
tu nous disais :
En complément, Microsoft met a jour un bulletin déjà publié autour de
Microsoft Office XP. Cette mise à jour ne concerne que l'utilisation
d'Office XP sur Windows XP Service Pack 2. Les autres systèmes ne
changent pas. Nottons, au passage, que cette mise à jour est le seul
bulletin qui est relatif à Windows XP Service Pack 2 ; ce qui
démontre l'intérêt d'appliquer ce service pack lorsque vous pouvez le
faire !


Désolé Stéphane, mais il y a une mise à jour qui concerne le SP2 et qui
est
aussi (voire plus) importante :
http://www.microsoft.com/technet/security/Bulletin/ms04-038.mspx

AMHA, si il fallait n'en passer qu'une, ce serait celle là.

@+

--
~Jean-Marc~ MSAE & MVP Windows XP Fr
M'écrire : http://msmvps.com/docxp/contact.aspx
- http://perso.wanadoo.fr/doc.jm/ - http://msmvps.com/docxp/ -
Aide en DIRECT sur Internet : http://communautes-ms.akro-net.org/






~Jean-Marc~ [MVP]
Le #32667
Salutations *Stéphane [MS]* !
Dans http://groups.google.fr/groups?threadmã
tu nous disais :
Bonjour,
Veuillez accepter toutes mes excuses ; il apparaît effectivement que
ce bulletin est, effectivement, critique pour tous les systèmes
d'exploitation en incluant le service pack 2 de Windows XP. Des
messages commencent à circuler qui exploitent cette faille.


Y'a pas de mal ;-)

Des failles qui peuvent paraître bénignes se transforment, une fois
exploitées d'une autre manière, en malware dangereux. ;-)

Cordialement

--
~Jean-Marc~ MSAE & MVP Windows XP Fr
M'écrire : http://msmvps.com/docxp/contact.aspx
- http://perso.wanadoo.fr/doc.jm/ - http://msmvps.com/docxp/ -
Aide en DIRECT sur Internet : http://communautes-ms.akro-net.org/

Daniel92
Le #32182
"Stéphane [MS]" a écrit dans:
http://groups.google.fr/groups?threadm=

AMHA, sur des postes sous Windows XP Service Pack, ce correctif est
totalement inutile (ce n'est qu'une opinion personnelle). Le seul
correctif

apporté concerne le Drap&Drop d'éléments dans la fenêtre d'Internet
Explorer. A moins de devenir complètement stupide, je ne ferais jamais une
telle opération sur un site dont je ne serais pas absolument sûr.



** Drap&Drop, je pense que tu veux parler de Drag&Drop?

Je trouve personnellement ce type de raisonnement dangereux.

1- Parce qu'en cas de TroubleShot léger (par ex: processeur
occupé temporairement à 100%) il m'est déjà arrivé sans le
vouloir de déplacer des objets d'une fenêtre IE vers le Bureau.
( idem avec explorer.exe, qui n'a jamais retrouvé son fond
d'écran dans un dossier?)

2- C'est en faisant ce type de raisonnement que l'on retrouve
la majorité des bugs à la frange des Programmes ou même
de l'OS. ( "après tout l'utilisateur n'a aucune raison d'utiliser
cette fonction") ... donc on omet de la tester en profondeur
et on omet d'y mettre des tests de blocage.

Cordialement,
Daniel.

----------------------------------------

Stéphane [MS]
Le #31684
Bonjour,

Bien vu pour le Drag&Drop !

Etant méfiant de nature, je ne fréquente pas trop les sites susceptibles de
réaliser des actions dangereuses pour mon poste. Si je suis amené à le
faire, je prends soin d'utiliser préalablement soit la zone des "sites
sensibles", soit de le faire depuis une machine virtuelle parfaitement à
jour et éventuellement durcie du point de vue de la sécurité, soit les deux
à la fois (ceinture et bretelles).

D'une part, ce raisonement est celui d'un utilisateur relativement averti.
Une bonne part des lecteurs de ce groupe le sont également. Je reconnais que
ce n'est pas le type de conseil que je donnerais pour les ordinateurs de mes
clients ou de ma famille. Quand on ne sait pas quel est le niveau des
utilisateurs, il est préférable d'appliquer systématiquement tous les
correctifs applicables.

D'autre part, ma remarque initiale était infondée et je l'ai reconnu
ultérieurement. Il reste un point ; Windows XP Service Pack 2 apporte une
plus grande tranquilité d'esprit en matire de sécurité. Je ne peux que
conseiller de l'appliquer aprs avoir fait les tests nécessaires.

Cdlt
Stéphane

"Daniel92" %23$

"Stéphane [MS]" a écrit dans:
http://groups.google.fr/groups?threadm=

AMHA, sur des postes sous Windows XP Service Pack, ce correctif est
totalement inutile (ce n'est qu'une opinion personnelle). Le seul
correctif

apporté concerne le Drap&Drop d'éléments dans la fenêtre d'Internet
Explorer. A moins de devenir complètement stupide, je ne ferais jamais
une
telle opération sur un site dont je ne serais pas absolument sûr.



** Drap&Drop, je pense que tu veux parler de Drag&Drop?

Je trouve personnellement ce type de raisonnement dangereux.

1- Parce qu'en cas de TroubleShot léger (par ex: processeur
occupé temporairement à 100%) il m'est déjà arrivé sans le
vouloir de déplacer des objets d'une fenêtre IE vers le Bureau.
( idem avec explorer.exe, qui n'a jamais retrouvé son fond
d'écran dans un dossier?)

2- C'est en faisant ce type de raisonnement que l'on retrouve
la majorité des bugs à la frange des Programmes ou même
de l'OS. ( "après tout l'utilisateur n'a aucune raison d'utiliser
cette fonction") ... donc on omet de la tester en profondeur
et on omet d'y mettre des tests de blocage.

Cordialement,
Daniel.

----------------------------------------







Publicité
Poster une réponse
Anonyme