Bulletins de sécurité du 8 décembre 2009
Six nouveaux bulletins de sécurité ont été publiés aujourd’hui, dont 3 critiques et 3 importants.
Synthèse :
Détail des bulletins de ce mois :
- Bulletin de sécurité Microsoft MS09-069 - Important : Une vulnérabilité dans le service LSASS (Local Security Authority Subsystem Service) pourrait permettre un déni de service (974392)
Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement dans Microsoft Windows. Cette vulnérabilité pourrait permettre un déni de service si un attaquant à distance authentifié envoyait un message ISAKMP spécialement conçu en communiquant via IPsec (Internet Protocol Security) au service LSASS (Local Security Authority Subsystem Service) sur un système affecté. - Bulletin de sécurité Microsoft MS09-070 - Important : Des vulnérabilités dans ADFS (Active Directory Federation Services) pourraient permettre l'exécution de code à distance (971726)
Cette mise à jour de sécurité corrige deux vulnérabilités signalées confidentiellement dans Microsoft Windows. La plus grave de ces vulnérabilités pourrait permettre l'exécution de code à distance si un attaquant envoyait une requête HTTP spécialement conçue à un serveur Web avec ADFS activé. Pour exploiter l'une de ces vulnérabilités, un attaquant devrait être authentifié. - Bulletin de sécurité Microsoft MS09-071 - Critique : Des vulnérabilités dans le service d'authentification Internet pourraient permettre l'exécution de code à distance (974318)
Cette mise à jour de sécurité corrige deux vulnérabilités signalées confidentiellement dans Microsoft Windows. Ces vulnérabilités pourraient permettre l'exécution de code à distance si des messages reçus par le serveur du service d'authentification Internet sont copiés de façon incorrecte dans la mémoire lors du traitement des tentatives d'authentification PEAP. Un attaquant qui parviendrait à exploiter l'une de ces vulnérabilités pourrait prendre le contrôle intégral d'un système affecté. Les serveurs utilisant le service d'authentification Internet sont uniquement concernés lors de l'utilisation de l'authentification PEAP avec MS-CHAP v2. - Bulletin de sécurité Microsoft MS09-072 - Critique : Mise à jour de sécurité cumulative pour Internet Explorer (976325)
Cette mise à jour de sécurité corrige quatre vulnérabilités signalées confidentiellement et une vulnérabilité révélée publiquement dans Internet Explorer. Ces vulnérabilités pourraient permettre l'exécution de code à distance si un utilisateur affichait une page Web spécialement conçue à l'aide d'Internet Explorer. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur. Un contrôle ActiveX créé avec des en-têtes Microsoft ATL (Active Template Library) pourrait également permettre l'exécution de code à distance. Pour plus d'informations sur ce problème, consultez la sous-section « Forum aux questions concernant cette mise à jour de sécurité », dans cette section. - Bulletin de sécurité Microsoft MS09-073 - Important : Une vulnérabilité dans les convertisseurs de texte de WordPad et d'Office pourrait permettre l'exécution de code à distance (975539)
Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement dans les convertisseurs de texte de Microsoft WordPad et Microsoft Office. Cette vulnérabilité pourrait permettre l'exécution de code à distance si un fichier Word 97 spécialement conçu était ouvert dans WordPad ou dans Microsoft Office Word. Tout attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux disposant de privilèges d'administrateur. - Bulletin de sécurité Microsoft MS09-074 - Critique : Une vulnérabilité dans Microsoft Office Project pourrait permettre l'exécution de code à distance (967183)
Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement dans Microsoft Office Project. Cette vulnérabilité pourrait permettre l'exécution de code à distance si un utilisateur ouvrait un fichier Project spécialement conçu. Tout attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral du système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.
Patchez-vous bien !