- Orange ouvre Cinéma Séries à iOS
- Orange propose le Samsung Galaxy S3
- Sosh craque pour le Samsung Galaxy S3
- B and You proposera le Samsung Galaxy S3 dès le 30 mai
- Orange prépare la fête des mères
- BeIN Sport dévoile sa programmation.
- Windows Phone Mango devient obligatoire pour le MarketPlace
- Coriolis neuralize le Sony Xperia S
- Neufbox TV, quand le smartphone se transforme en télécommande
- La BBox Sensation, l'appel du 18 juin
Microsoft: Bulletin de sécurité d'Octobre 09
Publié par Infested Grunt dans la catégorie Actualité/Logiciels le 13/10/2009Lu 1352 fois - 0 commentaire
Microsoft a mis en ligne une liste de mises à jour chargés: 13 corrections de bugs. Les possesseurs de Windows 7 (qui sortira le 24 octobre) auront déjà des mises à jour à installer.Des vulnérabilités dans SMBv2 pourraient permettre l'exécution de code à distance (975517)
Cette mise à jour de sécurité corrige une vulnérabilité révélée publiquement et deux vulnérabilités signalées confidentiellement dans Server Message Block Version 2 (SMBv2). La plus grave de ces vulnérabilités pourrait permettre l'exécution de code à distance si un attaquant envoyait un paquet SMB spécialement conçu à un ordinateur exécutant le service Serveur. Les meilleures pratiques en matière de pare-feu, ainsi que les configurations par défaut des pare-feu, contribuent à protéger les réseaux contre les attaques lancées depuis l'extérieur de l'entreprise. Les meilleures pratiques recommandent que les systèmes connectés à Internet aient le moins possible de ports exposés.
Logiciels concernés: Microsoft Windows Vista et Server 2008
Des vulnérabilités dans Windows Media Runtime pourraient permettre l'exécution de code à distance (975682)
Cette mise à jour de sécurité corrige deux vulnérabilités signalées confidentiellement dans Windows Media Runtime. Ces vulnérabilités pourraient permettent l'exécution de code à distance si un utilisateur ouvrait un fichier multimédia spécialement conçu ou un contenu en continu spécialement conçu reçu d'un site Web ou de toute application proposant du contenu Web. Tout attaquant parvenant à exploiter ces vulnérabilités pourrait obtenir les mêmes droits que l'utilisateur. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.
Logiciels concernés: Microsoft Windows 2000, XP, Vista, Server 2003 et Server 2008 et Windows Media Player
Une vulnérabilité dans le lecteur Windows Media pourrait permettre l'exécution de code à distance (974112)
Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement dans le lecteur Windows Media. Cette vulnérabilité pourrait permettre l'exécution de code à distance si un fichier ASF spécialement conçu était lu à l'aide du lecteur Windows Media 6.4. Tout attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.
Logiciels concernés: Microsoft Windows 2000, XP et Server 2003 et Windows Media Player 6.4
Mise à jour de sécurité cumulative pour Internet Explorer (974455)
Cette mise à jour de sécurité corrige trois vulnérabilités signalées confidentiellement et une vulnérabilité révélée publiquement dans Internet Explorer. Ces vulnérabilités pourraient permettre l'exécution de code à distance si un utilisateur affichait une page Web spécialement conçue à l'aide d'Internet Explorer. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.
Logiciels concernés: Microsoft Windows 2000, XP, Vista, 7, Server 2003 et Server 2008 et Internet Explorer 6, 7 et 8
Mise à jour de sécurité cumulative pour les kill bits ActiveX (973525)
Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement commune à plusieurs contrôles ActiveX et actuellement exploitée. Cette vulnérabilité qui concerne les contrôles ActiveX ayant été compilés à l'aide de la version vulnérable de Microsoft ATL (Active Template Library) pourrait permettre l'exécution de code à distance si un utilisateur affichait une page Web spécialement conçue à l'aide d'Internet Explorer, tentant ainsi d'instancier le contrôle ActiveX. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.
Logiciels concernés: Microsoft Windows 2000, XP, Vista, 7, Server 2003 et Server 2008
Des vulnérabilités dans les contrôles ActiveX de Microsoft ATL (Active Template Library) pour Microsoft Office pourraient permettre l'exécution de code à distance (973965)
Cette mise à jour de sécurité corrige plusieurs vulnérabilités signalées confidentiellement dans des contrôles ActiveX pour Microsoft qui ont été compilés avec une version vulnérable de Microsoft ATL (Active Template Library). Ces vulnérabilités pourraient permettre l'exécution de code à distance si un utilisateur a chargé un composant ou un contrôle spécialement conçu. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.
Logiciels concernés: Microsoft Office XP, 2003 et 2007 et Visio Viewer 2002, 2003 et 2007
Des vulnérabilités dans le CLR (Common Language Runtime) Microsoft .NET pourraient permettre l'exécution de code à distance (974378)
Cette mise à jour de sécurité corrige trois vulnérabilités signalées confidentiellement dans Microsoft .NET Framework et Microsoft Silverlight. Ces vulnérabilités permettent l'exécution de code à distance sur un système client si un utilisateur affiche une page Web spécialement conçue utilisant un navigateur Web pouvant exécuter des applications du navigateur XAML (XBAP) ou des applications Silverlight, ou si un attaquant arrive à persuader un utilisateur d'exécuter une application Microsoft .NET spécialement conçue. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur. Les vulnérabilités permettent également l'exécution de code à distance sur un système serveur exécutant IIS, si ce serveur permet le traitement des pages ASP.NET et qu'un attaquant arrive à télécharger une page ASP.NET spécialement conçue sur ce serveur et à l'exécuter, comme cela peut être possible dans un scénario d'hébergement Web. Les applications Microsoft .NET, les applications Silverlight, les XBAP et les pages ASP.NET qui ne sont pas malveillantes ne risquent pas d'être compromises en raison de cette vulnérabilité.
Logiciels concernés: Microsoft Windows 2000, XP, Vista, 7, Server 2003 et Server 2008, .NET Framework 1.1, 2.0 et 3.5 et Silverlight 2
Des vulnérabilités dans GDI+ pourraient permettre l'exécution de code à distance (957488)
Cette mise à jour de sécurité corrige plusieurs vulnérabilités signalées confidentiellement dans Microsoft Windows GDI+. Ces vulnérabilités pourraient permettre l'exécution de code à distance si un utilisateur affichait un fichier image spécialement conçu à l'aide de logiciels concernés ou s'il visitait un site Web contenant du code spécialement conçu. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.
Logiciels concernés: Microsoft Windows 2000, XP, Vista, Server 2003 et Server 2008, Internet Explorer 6, 7 et 8, .Net Framework 1.1, 2.0 et 3.5, Office XP, 2003 et 2007, Visio 2002, Project 2002, Word-Excel-PowerPoint Viewer 2003 et 2007, Groove 2007, Works 8.5, Expression Web (1 & 2), SQL Server 2000 et 2005, Visual Studio .NET 2003, 2005 et 2008, Visual FoxPro 8.0 et 9.0, Report Viewer 2005 et 2008, Platform SDK: GDI+ et Forefront Client Security 1.0
Des vulnérabilités dans le service FTP pour Internet Information Services pourraient permettre l'exécution de code à distance (975254)
Cette mise à jour de sécurité corrige deux vulnérabilités révélées publiquement dans le service FTP de Microsoft Internet Information Services (IIS) 5.0, Microsoft Internet Information Services (IIS) 5.1, Microsoft Internet Information Services (IIS) 6.0 et Microsoft Internet Information Services (IIS) 7.0. Sur IIS 7.0, seul le service FTP 6.0 est concerné. Ces vulnérabilités pourraient permettre l'exécution de code à distance (RCE) sur les systèmes exécutant le service FTP sur IIS 5.0 ou un déni de service (DoS) sur les systèmes exécutant le service FTP sur IIS 5.0, IIS 5.1, IIS 6.0 ou IIS 7.0.
Logiciels concernés: Microsoft Windows 2000, XP, Vista, Server 2003 et Server 2008
Des vulnérabilités dans Windows CryptoAPI pourraient permettre une usurpation de contenu (974571)
Cette mise à jour de sécurité corrige deux vulnérabilités révélées publiquement dans Microsoft Windows. Ces vulnérabilités pourraient permettre une usurpation de contenu si un attaquant parvenait à accéder au certificat utilisé par l'utilisateur final pour son authentification.
Logiciels concernés: Microsoft Windows 2000, XP, Vista, 7, Server 2003 et Server 2008
Une vulnérabilité dans le service d'indexation pourrait permettre l'exécution de code à distance (969059)
Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement dans Microsoft Windows. La vulnérabilité pourrait permettre l'exécution de code à distance si un attaquant configurait une page Web malveillante qui appelle le service d'indexation en appelant son composant ActiveX. Cet appel pourrait inclure un lien malveillant et exploiter la vulnérabilité, accordant à l'attaquant un accès au système client avec les privilèges de l'utilisateur parcourant la page Web. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.
Logiciels concernés: Microsoft Windows 2000, XP et Server 2003
Des vulnérabilités dans le noyau Windows pourraient permettre une élévation de privilèges (971486)
Cette mise à jour de sécurité corrige plusieurs vulnérabilités signalées confidentiellement dans le noyau Windows. La plus grave de ces vulnérabilités pourrait permettre une élévation de privilèges si un attaquant se connectait au système et exécutait une application spécialement conçue. Pour exploiter ces vulnérabilités, l'attaquant doit disposer d'informations d'identification et d'authentification d'ouverture de session valides afin d'être en mesure d'ouvrir une session en local. Ces vulnérabilités ne peuvent pas être exploitées à distance ou par des utilisateurs anonymes.
Logiciels concernés: Microsoft Windows 2000, XP, Vista, Server 2003 et Server 2008
Une vulnérabilité dans le service LSASS (Local Security Authority Subsystem Service) pourrait permettre un déni de service (975467)
Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement dans Microsoft Windows. La vulnérabilité pourrait permettre un déni de service si un attaquant envoyait un paquet malveillant lors du processus d'authentification NTLM.
Logiciels concernés: Microsoft Windows XP, Vista, 7, Server 2003 et Server 2008
Les mises à jour sont accessibles via le service Windows Update, Office Update et Microsoft Update. Vous pouvez aller les chercher directement via le lien dans le Menu Démarrer ou attendre le téléchargement par le module de Windows. La mise à jour de Silverlight se fait via le téléchargement sur les serveurs de Microsoft pour l'édition Mac.