Patch Day de décembre : 7 correctifs dont 3 critiques

Comme chaque deuxième mardi du mois, Microsoft nous livre son bulletin de sécurité et ses attendus correctifs. Pour son dernier ‘patch day’ de l’année 2007, l’éditeur nous gâte avec 7 correctifs, dont 3 sont critiques. A noter : Vista est particulièrement concerné par ces correctifs.

Correctifs critiques:

MS07-064 : cette mise à jour corrige deux vulnérabilités signalées confidentiellement dans DirectX. Ces vulnérabilités pourraient permettre l’exécution de code et le contrôle total de la machine à distance si un utilisateur ouvrait un fichier spécialement conçu. Toutes les versions de DirectX sont touchées sous Windows 2000 à Vista.

MS07-068 : le patch corrige une vulnérabilité signalée confidentiellement dans le format Windows Media. Cette vulnérabilité pourrait permettre l’exécution de code à distance si un utilisateur affichait un fichier spécialement conçu dans le module d’exécution du format Windows Media. Les players de la version 7.1 à la version 11 sont touchés.

MS07-069 : cette mise à jour corrige quatre vulnérabilités signalées confidentiellement dans Internet Explorer. La vulnérabilité la plus critique pourrait permettre l’exécution de code à distance si un utilisateur affichait une page Web spécialement conçue le navigateur de la firme. IE 5.01 à 7 sont impactés sous tous les Windows.

Correctifs importants :

MS07-063 : le patch corrige une vulnérabilité signalée confidentiellement dans Server Message Block Version 2 (SMBv2) sous Windows Vista. Cette vulnérabilité pourrait permettre à un attaquant d’altérer des données transférées via SMBv2, ce qui pourrait permettre l’exécution de code à distance dans les configurations de domaine qui utilisent SMBv2.

MS07-065 : cette mise à jour corrige une vulnérabilité signalée confidentiellement dans le service Message Queuing (MSMQ). Cette vulnérabilité pourrait permettre l’exécution de code à distance dans ces implémentations sur Microsoft Windows 2000 Server, ou une élévation de privilèges dans ces implémentations sur Microsoft Windows 2000 Professionnel et Windows XP.

MS07-066 : le patch corrige une vulnérabilité signalée confidentiellement dans le noyau Windows Vista. Tout attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral du système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de droits administratifs complets.

MS07-067 : cette mise à jour de sécurité corrige une vulnérabilité révélée publiquement dans le pilote Macrovision. Il existe une vulnérabilité d’élévation locale des privilèges liée au traitement incorrect des paramètres de configuration. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral du système affecté. Windows XP et Windows Server 2003 sont concernés.

Les mises à jour peuvent se faire automatiquement, à partir de Windows Update ou à partir de la section sécurité du site de Microsoft.