Bugs et correctifs: Correctif "zero-day" pour Internet Explorer 6 ou 7

Une vulnérabilité dangereuse dans Internet Explorer 6 et 7 est devenue publique avant qu'un correctif ne soit disponible, ce qui augmente le spectre d'une attaque Zéro risque à haut risque.

Le bug concerne la manière dont IE gère les objets CSS (Cascading Style Sheets) et pourrait permettre à un attaquant d'exécuter n'importe quelle commande sur un PC Windows XP, Vista, Server 2003 ou Server 2008 ciblé. Les méchants ont déjà posté un code d'attaque en ligne. IE 8 n'est pas affecté. Pour plus d'informations, consultez l'Avis de sécurité Microsoft 977981.

Pendant ce temps, un bogue dans la façon dont Windows gère Embedded OpenType pourrait permettre à un baddie de prendre en charge des ordinateurs Windows XP, 2000 ou Server 2003 vulnérables via des sites Web malveillants ou des documents Office empoisonnés. Le bogue ne peut nuire à Vista ou Server 2008 et n'affecte pas Windows 7. Lisez le bulletin de sécurité Microsoft MS09-065 pour plus de détails.

Failles de fichiers Office

Deux autres correctifs réparent les failles Office dans Excel et Word affectant Office XP et 2003 et Office 2004 et 2008 pour Mac.

Le bogue Excel met en danger Office 2007, Office Excel Viewer 2003 et le Pack de compatibilité Office Excel Viewer Service Office pour les formats de fichier Word, Excel et PowerPoint 2007. La faille Word affecte également Convertisseur de format de fichier Open XML pour Mac, Office Word Viewer 2003 et Office Word Viewer. Microsoft estime que les failles sont importantes; voir le bulletin de sécurité Microsoft MS09-067 (Ex-cel) et le bulletin de sécurité Microsoft MS09-068 (Word).

Microsoft a également publié deux correctifs critiques pour les réseaux professionnels. On ferme un trou dans l'interface de programmation de l'application Web Services on Devices; il est essentiel pour Vista et Server 2008 (voir le bulletin de sécurité Microsoft MS09-063). La seconde faille concerne uniquement les systèmes Windows 2000 exécutant License Logging Server (voir le Bulletin de sécurité Microsoft MS09-064).

Java et Opera Bump Up

La mise à jour 17 de JD (Java Runtime Environment) et JDK (Java Development Kit) de Sun se termine un certain nombre de trous, y compris une faille sérieuse qui permet des attaques via des pages Web. Java vérifie mensuellement si des mises à jour sont disponibles, mais vous pouvez également vérifier manuellement: Ouvrez le Panneau de configuration et double-cliquez sur l'icône Java. Dans l'onglet Mise à jour, cliquez sur Mettre à jour maintenant. Après la mise à jour, vous devrez peut-être supprimer manuellement les anciennes versions de Java avec Ajout / Suppression de programmes. Pour plus de détails ou pour télécharger la dernière version de Java, rendez-vous sur la page de téléchargement SE Java de Sun.

[Plus d'informations: Comment supprimer les malwares de votre PC Windows]

La version 10.10 du navigateur Web d'Opera corrige de nombreux bugs pourrait laisser JavaScript malveillant sur une page Web lancer une attaque. Cliquez sur Aide, vérifiez les mises à jour pour confirmer que vous disposez de la dernière version d'Opera; sinon, vous pouvez télécharger Opera 10.10 depuis la bibliothèque de téléchargements de PCWorld

Fix Shockwave et Mac OS X

Une attaque sur des vulnérabilités critiques dans les versions de Shockwave Player antérieures au 11.5.1.601 pourrait "exécuter du code malveillant sur un système affecté" Adobe dit. Vérifiez votre version de Shockwave sur la page de test spéciale d'Adobe, et obtenez la dernière itération (Shockwave 11.5.2.602) de nos pages Téléchargements.

Enfin, la mise à jour Mac OS X 10.6.2 corrige divers problèmes impliquant des fichiers PDF, des films H.264, Des images TIFF et d'autres choses. Téléchargez-le via la mise à jour logicielle et lisez-en plus à propos de la mise à jour de sécurité 2009-006.