Bogues et correctifs: un correctif d'urgence rare de Microsoft

Microsoft aurait pu se sentir comme le petit Hollandais au cours du dernier mois, brouillant des trous avec des correctifs réguliers et avec de rares correctifs hors-cycle dans

Le correctif hors cycle, critique pour toutes les versions d'Internet Explorer sur 2000, XP et Vista, aborde la gestion par IE des contrôles ActiveX défectueux créés avec la bibliothèque de modèles Microsoft Active (ATL), un outil de développement inclus avec Visual Studio. Les PC à risque pourraient être touchés par une attaque par téléchargement. Cette vulnérabilité grave affecte de nombreux contrôles ActiveX. Par exemple, Adobe a confirmé sur son site de sécurité que ses contrôles ActiveX Shockwave et Flash Player «exploitent les versions vulnérables d'ATL» et qu'il travaille sur un correctif. Le problème affecte également IE sur Windows Server 2003 et 2008, mais est jugé modérément sévère sur ces systèmes d'exploitation.

Correctifs Zero-Day

La version corrigée du correctif Microsoft de mardi fermait beaucoup d'autres trous, y compris une faille de zéro jour été attaqué et impliqué un contrôle ActiveX utilisé par Microsoft Video. Bien que le correctif ait désactivé le contrôle, qui ne servait aucun but légitime, il n'a pas corrigé la faille sous-jacente. Le correctif, critique pour Windows XP et modéré pour Windows Server 2003, n'affecte pas Windows 2000, Vista ou Server 2008.

[Plus d'informations: Comment supprimer les logiciels malveillants de votre PC Windows]

Un deuxième correctif arrêté attaques sur le traitement du contenu QuickTime par Microsoft DirectShow. Les attaques, qui ne dépendaient pas de l'installation de QuickTime d'Apple, pouvaient se déclencher si une victime ouvrait ou prévisualisait un fichier QuickTime empoisonné. DirectX 7, 8.1 et 9.0 sur Windows 2000 nécessitent le correctif, tout comme DirectX 9.0 sous XP et Server 2003. Vista et Server 2008 obtiennent un succès

D'autres correctifs critiques ont corrigé les failles dans la façon dont toutes les versions de Windows supportent les polices Pages Web, e-mail et documents Office. Les failles dans le moteur de polices Embedded OpenType n'avaient pas été attaquées avant la publication du correctif, mais elles sont des doozies.

Une faille importante dans Microsoft Office Web Components implique un problème ActiveX qui autorise les attaques sur les utilisateurs d'IE. Une large gamme de composants et de versions Office nécessite le correctif; Pour la liste complète des logiciels concernés, voir la page Microsoft liée

Vous pouvez récupérer tous les correctifs ci-dessus via Windows Update

Correctifs Adobe et Firefox

Microsoft n'était pas le seul à souffrir d'un zéro menace de jour au cours du dernier mois. Adobe, une autre cible populaire, a publié des correctifs pour Flash (sur toutes les plates-formes), ainsi que pour Reader, Air et Acrobat, après des rapports d'attaques utilisant des fichiers PDF empoisonnés pour exploiter les failles de Flash. Pour vous protéger contre ces attaques multiformes, veillez à mettre à jour toutes vos applications Adobe. Saisissez Flash version 10.0.32.18 et le dernier Air sur le site d'Adobe. Pour Reader, passez à la version 9.1.3 en ouvrant le programme et en sélectionnant Outils, Vérifier les mises à jour. Consultez le bulletin de sécurité d'Adobe pour obtenir des liens vers les mises à jour d'Acrobat pour Mac et Windows, ainsi que plus de détails.

Pour compléter vos incontournables, les utilisateurs de Firefox doivent passer à la dernière version disponible pour appliquer plusieurs correctifs 3.5, y compris une sérieuse faille dans la gestion de JavaScript par 3.5, plus un problème affectant l'utilisation de certificats SSL par Firefox 3 pour crypter des connexions Web sécurisées (3.5 était déjà à l'abri de cette faille). Cliquez sur Aide, vérifiez les mises à jour pour confirmer que vous disposez de la dernière version. Et si vous êtes encore sur la version 3, visitez le site Firefox pour télécharger 3.5; c'est une mise à jour relativement indolore.