Correctifs Microsoft d'avril... mais pas seulement !
Par Sylvain SARMEJEANNE, mercredi 9 avril 2008 à 17:13 :: General :: #229 :: rss
Comme prévu, Microsoft a publié ses traditionnels bulletins de sécurité mensuels. Le menu est plutôt varié puisqu'on y trouve des failles dans le client DNS de Windows, dans le noyau ou encore dans Microsoft Visio et Project. On remarquera aussi le grand retour des failles GDI.
Les vulnérabilités critiques sont les suivantes :
MS08-018 : vulnérabilités permettant l'exécution de code arbitraire en incitant la victime à ouvrir un document Project malveillant 
(Réf Lexsi 9959)
MS08-021 : deux vulnérabilités dans le composant GDI de Windows permettant d'exécuter du code arbitraire à l'ouverture d'un fichier EMF ou WMF (Réf Lexsi 9956)
MS08-022 : vulnérabilité dans les moteurs VBScript et JScript permettant d'exécuter du code arbitraire (Réf Lexsi 9962)
MS08-023 : vulnérabilités dans un contrôle ActiveX Windows et deux contrôles ActiveX tiers, permettant d'exécuter du code arbitraire via une page HTML malveillante (Réf Lexsi 9958)
MS08-024 : vulnérabilité dans Internet Explorer permettant d'exécuter du code arbitraire via une page HTML malveillante (Réf Lexsi 9963)
Les bulletins suivants sont qualifiés d'importants :
MS08-019 : deux vulnérabilités permettant l'exécution de code arbitraire en incitant la victime à ouvrir un document Visio malveillant (Réf Lexsi 9960)
MS08-020 : vulnérabilité dans le client DNS de Windows permettant d'usurper des réponses DNS (Réf Lexsi 9961)
MS08-025 : vulnérabilité dans le noyau de Windows permettant une élévation locale de privilèges (Réf Lexsi 9957)
Ce "patch day" Microsoft a été une fois de plus l'occasion pour d'autres éditeurs de publier des correctifs pour leurs propres produits, ce qui ne saurait être pris pour une simple coïncidence. On notera par exemple la publication de 33 (!) vulnérabilités dans IBM Lotus Notes (Réf Lexsi 9969). Une partie de ces vulnérabilités affectant le composant tiers Autonomy KeyView, Symantec Mail Security est aussi touché (Réf Lexsi 9970).
Adobe n'est pas en reste avec la publication de la version 9.0.124.0 du lecteur Flash (Réf Lexsi 9964) qui corrige entre autres une vulnérabilité critique permettant d'exécuter du code arbitraire via l'ouverture d'un document Flash, typiquement depuis un site web malveillant.
La sécurité d'un poste de travail ne se limite donc pas aux mises à jour système ; il est primordial de mener un travail de veille sur l'ensemble des applications clientes.