Android

Corrige mardi les trous Zero-day sérieux, laisse un autre ouvert

Advisory Council Meeting, 25 September 2014, Paris - Français

Advisory Council Meeting, 25 September 2014, Paris - Français
Anonim

Microsoft a corrigé aujourd'hui une faille sérieuse de sous-attaque dans un contrôle ActiveX vidéo, ainsi que d'autres failles critiques impliquant des fichiers et des polices QuickTime. Mais un trou critique de zero-day dans un autre contrôle ActiveX reste non corrigé

Le correctif le plus important dans Patch Tuesday d'aujourd'hui corrige un trou divulgué il y a huit jours dans le contrôle Microsoft Video ActiveX. La faille, qui a été attaquée activement, est critique pour Windows XP et modérée pour Windows 2003. Le correctif MS09-032 désactive le contrôle inutilisé (à des fins légitimes) pour bloquer les attaques potentielles, mais ne corrige pas le défaut sous-jacent.

Remarque: à partir de 14h, Microsoft n'a pas encore publié les liens de bulletins individuels (pour MS09-032, etc.). Jusqu'à ce que ces liens vous amènent à la page d'accueil de TechNet.

[Plus d'informations: Comment supprimer les logiciels malveillants de votre PC Windows]

Une seconde correction ferme un autre trou d'attaque impliquant la façon dont Microsoft DirectShow traite QuickTime contenu. Le correctif MS09-028 ferme trois bogues de sécurité, révélés en mai, qui peuvent être déclenchés lors de l'ouverture ou même de la prévisualisation d'un fichier QuickTime empoisonné. Windows XP, 2000 et Server 2003 sont tous affectés, que QuickTime d'Apple soit installé ou non sur le PC vulnérable. Consultez le bulletin MS09-028 pour plus d'informations.

Deux vulnérabilités critiques du moteur de polices Microsoft Embedded OpenType se ferment avec le troisième correctif, MS09-029. Bien qu'aucune de ces failles ne soit répertoriée comme étant sous attaque active, toutes deux obtiennent une cote «Probable exploit code probable» dans l'indice d'exploitabilité de Microsoft. Windows 2000, XP, Server 2003, Vista et Server 2008 sont tous à risque.

Trois autres correctifs ferment les trous jugés importants, plutôt que critiques. Un correctif pour Office 2007 ferme un trou dans Microsoft Office Publisher qui pourrait être attaqué lors de l'ouverture d'un fichier Publisher malveillant (voir MS09-030). Deux autres pour Virtual PC et Virtual Server (MS09-033), et pour Microsoft Internet Security et Acceleration Server 2006 (MS09-031), ferment la fermeture de privilèges et sont probablement les plus préoccupants pour les types de TI.

Ces correctifs arrivera via les mises à jour automatiques, et vous pouvez également récupérer tham manuellement en exécutant Microsoft Update. Mais gardez à l'esprit qu'une faille critique rapportée hier reste non fixée. La faille impliquant un contrôle ActiveX installé par Office permet des attaques par téléchargement, mais peut être atténuée en exécutant un téléchargement Fix-it rapide.