Comme chaque mois (ou presque...), Microsoft a publié sa liste de correctifs. Rappelons que la publication du correctif pour la faille des curseurs ANI, qui devait faire partie du lot d'aujourd'hui, avait été avancée d'une semaine en raison de sa criticité et des nombreux codes d'exploitations disponibles dans la nature. Voici les failles critiques au menu de ce mois-ci :

MS07-018 : Content Management Server, le système de gestion de contenu de Microsoft, est affecté par deux vulnérabilités, dont une permettant l'exécution arbitraire de code à distance (Ref. Lexsi 8409).

MS07-019 : le composant Universal Plug and Play (UPnP) de Windows est affecté par une vulnérabilité permettant l'exécution arbitraire de code à distance (Ref. Lexsi 8410). Un code d'exploitation non-public, dont on ne connait pas la portée, existe.

MS07-020 : le composant Microsoft Agent de Windows est affecté par une vulnérabilité permettant l'exécution arbitraire de code à distance par l'intermédiaire de certains contrôles ActiveX (Ref. Lexsi 8411).

MS07-021 : parmi les trois failles corrigées par ce bulletin sur le composant CSRSS (Client/Server Runtime Server Subsystem) de Windows, une était déjà connue et des codes d'exploitation de déni de service local disponibles (Ref. Lexsi 7931). Les deux autres concernent une élévation locale de privilège et un déni de service (Ref. Lexsi 8413).

Une autre faille de type condition de concurrence dans le noyau (MS-07-022) est qualifiée d'"importante" (Ref. Lexsi 8412).