Microsoft vient de publier ses dernières mises à jour de sécurité pour le mois d'avril.

Au programme, cinq nouvelles mises à jour , trois critiques ,une importante et une modérée.

Critique:

• Bulletin de sécurité Microsoft MS06-013 (n° 912812) : Cette mise à jour supprime de nombreuses vulnérabilités dans Internet Explorer, qui permettait à un pirate de prendre le contrôle du système d'exploitation en exécutant du code. Voici une liste des différentes failles qui ont été supprimées:

  • Vulnérabilité liée à la corruption de la mémoire lors de l'appel à une méthode DHTML.

  • Vulnérabilité liée à la corruption de la mémoire du gestionnaire d'événements multiples.

  • Vulnérabilité d'exécution HTA.

  • Vulnérabilité de traitement HTML.

  • Vulnérabilité de corruption de la mémoire  lors de l'instanciation d'objets COM.

  • Vulnérabilité liée à la corruption de la mémoire liée à certaines balises HTML.

  • Vulnérabilité liée à la corruption de la mémoire lors du traitement des caractères codés sur deux octets.

  • Vulnérabilité d'exécution de script.

  • Vulnérabilité de divulgation d'informations inter-domaines.

  • Vulnérabilité d'usurpation de la barre d'adresses.

   

• Bulletin de sécurité Microsoft  MS06-014(n° 911562) : cette mise à jour corrige une vulnérabilité récemment découverte dans la fonction Microsoft Data Access Components (MDAC) qui permettait à un pirate d'exécuter du code à distance. Plus précisément la faille provenait du contrôle ActiveX de RDS.Dataspace, fourni avec ADO (Active Data Object) et distribué dans MDAC.

• Bulletin de sécurité Microsoft  MS06-015(n° 908531) : cette mise à jour corrige une vulnérabilité liée à la gestion des objets COM dans l'Explorateur Windows. EN convainquant un utilisateur de visiter un site Web, ce site Web pourrait démarrer une connexion à un serveur de fichiers, et c'est ce dernier qui pourrait permettre à un pirate d'exécuter du code distant.

Important :

.Bulletin de sécurité Microsoft MS06-016 (n°911567) : Il existait  dans Outlook Express une faille d'exécution de code à distance au niveau de l'utilisation d'un fichier du carnet d'adresses(.wab). Si un utilisateur a ouvert une session avec des privilèges d’administrateur, un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral d'un système affecté. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d’administrateur.

Modéré:

• Bulletin de sécurité Microsoft MS06-017 (n°917627) : Une vulnérabilité de script entre sites (cross-site scripting) pourrait permettre à un attaquant d’exécuter un script côté client au nom d’un utilisateur FPSE. Le script pourrait usurper du contenu, divulguer des informations ou entreprendre toute action autorisée pour cet utilisateur sur le site Web affecté. Avec cette vulnérabilité un pirate pourrait prendre le contrôle intégral d'un serveur FrontPage 2002.

Toute ces mises à jour sont disponible sur le site web Windows Update.