Microsoft corrige les erreurs critiques liées au disque dur

Une sérieuse faille qui permet des attaques drive-by-download ramasse un patch dans le lot de correctifs mensuels de Redmond, ainsi que des failles critiques dans Microsoft Office. Les vecteurs d'attaque réseau les plus préoccupants pour les réseaux professionnels sont également protégés

Le patch le plus important, MS09-065, ferme un trou qui pourrait permettre à un attaquant de prendre le contrôle d'un système vulnérable si vous visualisez un OpenType Embedded spécialement conçu Police de caractère. Le correctif est jugé critique pour Windows 2000, XP et Server 2003, et important pour Vista et Server 2008.

Selon nCircle, une société d'audit de sécurité d'entreprise, une attaque peut être déclenchée en affichant un site Web malveillant ou en ouvrant un document Office empoisonné. Et Symantec dit que le code de preuve de concept est déjà disponible publiquement, donc c'est le correctif à obtenir.

[Plus d'informations: Comment supprimer les logiciels malveillants de votre PC Windows]

Les deux autres correctifs critiques ce mois-ci les risques liés au réseau les plus préoccupants pour les entreprises. Le premier concerne WSDAPI (Web Services on Devices Application Programming Interface) et est jugé critique pour Vista et Server 2008. Par Microsoft, un paquet spécialement conçu envoyé sur le réseau pourrait déclencher la faille, mais l'attaquant devrait être sur le même sous-réseau local. Pour plus de détails, voir MS09-063

Le correctif critique final est considéré comme critique pour les systèmes Windows 2000 exécutant le serveur License Logging Server. Un système vulnérable pourrait être compromis par un "message réseau spécialement conçu", mais contrairement à la faille WSDAPI, une attaque contre ce trou n'aurait pas besoin d'être lancée à partir du même sous-réseau local. MS09-064 contient plus d'informations.

Office recueille également quelques correctifs, qui ne sont jugés importants que par Microsoft, mais qui peuvent néanmoins permettre l'exécution de code à distance, par exemple. prendre en charge un ordinateur vulnérable, si vous ouvrez un fichier Word ou Excel malveillant. Pour Microsoft, ces deux failles sont jugées importantes plutôt que critiques, car "Microsoft Office Excel [ou Word] 2002 et les versions ultérieures ont une fonctionnalité intégrée qui invite un utilisateur à ouvrir, enregistrer ou annuler avant d'ouvrir un document. réduit la vulnérabilité de critique à important car la vulnérabilité nécessite plus d'une action utilisateur unique pour compléter l'exploit. "

Le correctif Excel, MS09-067, est pour Office XP, 2003 et 2007, ainsi que Office 2004 et 2008 pour Mac. Le convertisseur de format de fichier Open XML pour Mac nécessite également le correctif, tout comme Office Excel Viewer 2003 et le Pack de compatibilité Office Excel Viewer Service Office pour les formats de fichier Word, Excel et PowerPoint 2007.

Sélectionnez le correctif Word, MS09- 068, pour Office XP et Office 2003, ainsi qu'Office 2004 et 2008 pour Mac, le Convertisseur de format de fichier Open XML pour Mac, Office Word Viewer 2003 et Office Word Viewer.

Le dernier correctif classé important ferme un un trou de sécurité de déni de service dans le service d'annuaire Active Directory, le mode ADAM (Active Directory Application Mode) et le service AD ​​LDS (Active Directory Lightweight Directory Service). MS090-066 est pour Windows 2000, XP, Server 2003 et Server 2008, et Microsoft est requis uniquement pour les contrôleurs de domaine et les systèmes configurés pour exécuter ADAM ou AD LDS.

Enfin, Microsoft a mis à jour deux correctifs précédents, MS09-045 et MS09-051. La mise à jour MS09-045 ajoute détection pour JScript 5.7 sur Windows 2000, selon Microsoft, tandis que la mise à jour MS09-051 résout un problème de détection impliquant le Gestionnaire de compression audio sur Windows 2000.

Comme toujours, lancez Microsoft Update pour ramasser tout ou partie de ces corrections.