Bulletins de sécurité du 9 juin
Aujourd’hui ont été publiés 10 nouveaux bulletins de sécurité, dont 6 critiques, 1 réédition d’un bulletin critique du mois de mai, et 2 nouveaux avis de sécurité.
- Synthèse en français – inclut les indices d’exploitabilité, les tableaux par logiciels concernés, les informations sur les outils de détection et de déploiement, etc.
- Synthèse en anglais – idem.
- Annonce du MSRC
Commençons par les avis de sécurité :
- Avis de sécurité Microsoft (969898) : Ensemble de mises à jour pour les kill bits ActiveX
- Avis de sécurité Microsoft (971888) : Mise à jour pour la dévolution DNS
Le bulletin de sécurité du mois de mai a été réédité pour accompagner la sortie de mises à jours qui n’étaient pas disponibles lors de la publication originale du bulletin, ce qui concerne Office 2004 et 2008 pour Mac, le Convertisseur de formats de fichier Open XML pour Mac, et Microsoft Works 8.5 et 9 :
Enfin, les 10 nouveaux bulletins pour le mois de juin :
- Bulletin de sécurité Microsoft MS09-018 - Critique : Des vulnérabilités dans Active Directory pourraient permettre l'exécution de code à distance (971055) - critique uniquement pour Windows 2000.
- Bulletin de sécurité Microsoft MS09-019 - Critique : Mise à jour de sécurité cumulative pour Internet Explorer (969897) - critique pour toutes versions !
- Bulletin de sécurité Microsoft MS09-020 - Important : Des vulnérabilités dans Internet Information Services (IIS) pourraient permettre une élévation de privilèges (970483) - uniquement IIS 5.0, 5.1 et 6.0 (Windows 2000, XP, 2003).
- Bulletin de sécurité Microsoft MS09-021 - Critique : Des vulnérabilités dans Microsoft Office Excel pourraient permettre l'exécution de code à distance (969462) – critique uniquement pour Excel 2000.
- Bulletin de sécurité Microsoft MS09-022 - Critique : Des vulnérabilités dans le spouleur d'impression Windows pourraient permettre l'exécution de code à distance (961501) – critique uniquement pour Windows 2000.
- Bulletin de sécurité Microsoft MS09-023 - Modéré : Une vulnérabilité dans Windows Search pourrait permettre la divulgation d'informations (963093) – uniquement Windows Search 4.0 sur Windows XP et 2003.
- Bulletin de sécurité Microsoft MS09-024 - Critique : Une vulnérabilité dans les convertisseurs Microsoft Works pourrait permettre l'exécution de code à distance (957632) – critique uniquement pour Word 2000.
- Bulletin de sécurité Microsoft MS09-025 - Important : Des vulnérabilités dans le noyau Windows pourraient permettre une élévation de privilèges (968537) – tous Windows concernés.
- Bulletin de sécurité Microsoft MS09-026 - Important : Une vulnérabilité dans RPC pourrait permettre une élévation des privilèges (970238) – tous Windows concernés.
- Bulletin de sécurité Microsoft MS09-027 - Critique : Des vulnérabilités dans Microsoft Office Word pourraient permettre l'exécution de code à distance (969514) – critique uniquement pour Word 2000.
Comme prévu jeudi soir, il y a de l’exécution à distance critique, aussi bien sur les serveurs d’infrastructure (AD, spooler) que sur les postes de travail (Office, IE). Le reste est moins grave et montre encore, comme dans le cas de la vulnérabilité d’IIS, qu’une bonne conception à la base limite grandement les dégâts en cas de brèche.
Il semblerait que les serveurs applicatifs (bêtes noires des responsables sécurité face aux responsables de la prod) ne sont pas les plus exposés --en supposant, bien sûr, qu’ils ne servent pas également de contrôleurs de domaine ou de serveurs d’impression. Mettre à jour les DC, les serveurs d’impression et les postes de travail n’est a priori pas le plus compliqué si les bonnes procédures sont en place.
De plus, MS09-018 (AD) et MS09-022 (spooler) ne sont critiques que pour Windows 2000. Il est donc surtout urgent de mettre à jour les postes de travail, principalement pour IE. Et si vous avez encore du Windows 2000 et de l’Office 2000, il est sérieusement temps de penser à migrer.
Patchez-vous bien !