Bogues et correctifs: Médiations malveillantes Stymie, Attaques réseau

Les correctifs essentiels du système d'exploitation sont importants ce mois-ci. Et les fans de logiciels libres doivent mettre à jour leurs copies Firefox et OpenOffice.

La mise à jour QuickTime 7.6.4 d'Apple révise la gestion des fichiers.fpx,.mov et.mp4 sur Windows XP, Vista ou 7, ou Mac OS X (pas Snow Leopard). Dans QuickTime, cliquez sur Aide • Mettez à jour le logiciel existant pour vous assurer d'avoir la version 7.6.4 (pour plus de détails, voir la section «À propos de la sécurité de QuickTime 7.6.4»).

Le correctif de Microsoft branche un trou de sécurité dans la façon dont Windows 2000, XP, Server 2003, Vista et Server 2008 (mais pas Windows 7) traitent les fichiers multimédia.asf ou.mp3. Le bulletin de sécurité MS09-047 de Microsoft répertorie de nombreuses combinaisons vulnérables des versions de Windows Media Format Runtime et du système d'exploitation; exécutez Windows Update pour confirmer que vous avez corrigé.

[Plus d'informations: Comment supprimer les logiciels malveillants de votre PC Windows]

Network Flaws

Windows Vista et Server 2008 sont vulnérables à plusieurs failles de sécurité réseau. Un, un trou de partage de fichiers SMBv2 pourrait permettre à un attaquant ré-mote de prendre le contrôle d'une machine. Microsoft n'a pas encore publié de correctif, mais la société a publié un "Fix It" pour désactiver SMBv2. Le partage de fichiers devrait fonctionner, mais il peut être lent.

Microsoft a corrigé une faille que les paquets TCP / IP malveillants envoyés sur un réseau pourraient exploiter. Sur Vista et Server 2008, cela pourrait signifier une prise de contrôle complète; Sur Windows 2000, Server 2003 et XP, un blocage du système est plus probable. Microsoft ne relouera pas un correctif pour Windows 2000 (voir le bulletin de sécurité Microsoft MS09-048) ou XP (qui, par défaut, n'accepte pas les paquets périlleux).

Un problème de réseau dans le service AutoConfig de réseau local sans fil (voir le bulletin de sécurité Microsoft MS09-049) pourrait permettre aux attaquants distants de "posséder" des systèmes Vista ou Server 2008 vulnérables. Les PC qui manquent de cartes sans fil ou exécutent d'autres versions de Windows sont sûrs. Un pare-feu aidera à bloquer ces attaques Web.

Deux autres correctifs de Microsoft corrigent des failles critiques qui pourraient laisser le code caché sur une page Web exécuter des commandes sur un PC vulnérable. Un, dans le moteur de script JScript (voir le bulletin de sécurité Microsoft MS09-045), affecte Windows 2000, XP, Server 2003, Vista et Server 2008. L'autre concerne le contrôle ActiveX du composant d'édition DHTML (voir le Bulletin de sécurité Microsoft MS09-046), et est critique pour Windows XP et 2000 seulement. Comme d'habitude, Windows Update a les deux correctifs

Correctifs logiciels libres

Si vous utilisez la suite de productivité OpenOffice, mettez à jour vers la version 3.1.1 ou ultérieure pour éviter un problème critique dans la gestion des documents Microsoft Word. Si vous ouvrez un fichier.doc corrompu, un attaquant pourrait prendre le contrôle de votre PC. Cliquez sur Aide • Vérifiez les mises à jour pour voir si vous disposez de la dernière version (pour plus de détails, voir les notes de version 3.1.1 d'OpenOffice.org).

Firefox versions 3.5.3 et 3.0.14 corriger trois erreurs critiques. Cliquez sur Aide • Vérifier les mises à jour et consultez les avis de sécurité de Mozilla pour Firefox 3.0 et Firefox 3.5.

Firefox 3.0 et 3.5 incluent une fonction de sécurité qui vous demande de mettre à jour Flash si votre version est vulnérable; ils fournissent également un lien vers le site de téléchargement Flash.

Si vous utilisez les versions 10.4 à 10.5.8 de Mac OS X, lancez la mise à jour logicielle pour récupérer Security Update 2009-005, qui corrige le fichier image, le fichier PDF ou le Web trous de site.