Avec un peu de retard, voici quelques informations utiles sur les bulletins de sécurité publiés mardi dernier.

Rappelons que les bulletins sont publiés le 2ème mardi de chaque mois sur le site Sécurité. Ce mois-ci nous avons droit à une livraison conséquente, avec 11 bulletins dont 6 critiques et 5 importants. La synthèse est disponible en français et en anglais.

Ce nombre important de bulletins induit naturellement un travail important pour vos équipes en charge de l'évaluation des vulnérabilités et de la préparation du déploiement des mises à jour. Afin de vous aider à planifier cette charge, un préavis des bulletins de sécurité est publié environ 3 jours ouvrés avant les bulletins. Le blog du MSRC est également une source de premier choix pour être informé rapidement.

Ce mois-ci l'éventail des machines concernées est vaste : contrôleurs de domaine, serveurs IIS, postes clients et Office sont concernés.

MS08-003 - Une vulnérabilité dans Active Directory pourrait permettre un déni de service (946538)

Cette vulnérabilité est un déni de service sur Active Directory et ADAM, et le bug se situe dans le traitement des requêtes LDAP. L'attaquant doit être authentifié. Il faut patcher les contrôleurs de domaine (important) et serveurs ADAM (modéré). L'étude de cette mise à jour sera l'occasion de vérifier si les contrôleurs de domaine n'hébergent pas d'applications supplémentaires, ce qui n'est pas recommandé. Cette mise à jour remplace MS07-039 sur les DC (pas sur ADAM.)

MS08-004 - Une vulnérabilité dans Windows TCP/IP pourrait permettre un déni de service (946456)

Cette mise à jour (importante) remplace MS08-001. Il s'agit d'un déni de service sur le client DHCP IPv4 de Windows Vista 32 et 64.

MS08-005 - Une vulnérabilité dans Microsoft Internet Information Services (IIS) pourrait permettre une élévation de privilèges (942831)

Cette mise à jour (importante) concerne IIS versions 5.0 (Windows 2000 SP4), 5.1 (Windows XP SP2), 6.0 (Windows Server 2003 SP1 et SP2) et 7.0 (Windows Vista.) Il s'agit d'une élévation de privilèges. Il est important de noter que le service W3SVC (serveur Web) n'est vulnérable que dans Windows 2000. Les autres ne sont vulnérables que pour FTPSVC (serveur FTP) et NNTPSVC (serveur de news.)

MS08-006 - Une vulnérabilité dans Microsoft Internet Information Services (IIS) pourrait permettre l'exécution de code à distance (942830)

Cette mise à jour (importante) concerne IIS version 5.1 (Windows XP SP2) et 6.0 (Windows Server 2003 SP1 et SP2.) Elle remplace MS06-034. Il s'agit d'une exécution de code à distance dans asp.dll.

MS08-007 - Une vulnérabilité dans le mini-redirecteur WebDAV pourrait permettre l'exécution de code à distance (946026)

Cette vulnérabilité est critique pour les postes clients (Windows XP SP2 et Windows Vista), et importante pour les serveurs (Windows Server 2003 SP1 et SP2.) Il s'agit d'une  exécution de code à distance dans WebDAV. Une solution de contournement consiste à désactiver le service WebClient, ce qui est le cas par défaut sur les serveurs. Mais les clients sont à mettre à jour rapidement.

MS08-008 - Une vulnérabilité dans OLE Automation pourrait permettre l'exécution de code à distance (947890)

Cette vulnérabilité est critique pour Windows 2004 SP4 et les postes clients Windows XP SP2 et Windows Vista, et modérée pour les serveurs Windows Server 2003 SP1 et SP2. Il s'agit d'une  exécution de code à distance dans oleaut32.dll. A noter que la vulnérabilité est également critique dans Office 204 pour Mac et Visual Basic 6.0 SP6.

Une solution de contournement consiste à activer le Kill Bit sur le contrôle Microsoft Forms 2.0 Image de façon à bloquer ce contrôle dans IE. Etant donné la multiplication des pages web malveillantes exploitant ce type de vulnérabilités, le conseil est de déployer ce correctif au plus vite.

MS08-009 - Une vulnérabilité dans Microsoft Word pourrait permettre l'exécution de code à distance (947077)

Cette vulnérabilité est critique pour Word 2000 SP3, et importante pour Word 2002 SP3, Word 2003 SP2 et Word Viewer 2003. Une solution de contournement pour Word 2003 est d'utiliser le Microsoft Office Isolated Conversion Environment (MOICE). Ce n'est ni la première ni la dernière fois que des problèmes sont trouvés dans la lecture des formats de fichiers binaires : à déployer rapidement sur les postes clients concernés.

MS08-010 - Mise à jour de sécurité cumulative pour Internet Explorer (944533)

Voici la dernière mise à jour cumulative d'Internet Explorer, qui corrige 4 vulnérabilités et concerne toutes les versions supportées. Aucune question à se poser pour cette mise à jour : à installer d'urgence sur toutes les machines.

MS08-011 - Des vulnérabilités dans le convertisseur de fichiers Microsoft Works pourraient permettre l'exécution de code à distance (947081)

Cette mise à jour corrige une vulnérabilité du convertisseur de fichiers Works 6 (works632.cnv), importante pour Works 8.0 et 2005, et modérée pour Office 2003 SP2 et SP3. Une solution de contournement consiste à désactiver le convertisseur.

MS08-012 - Des vulnérabilités dans Microsoft Office Publisher pourraient permettre l’exécution de code à distance (947085)

Cette vulnérabilité concerne Publisher dans Office 2000 SP3 (critique), Office XP SP3 (important) et Office 2003 SP2 (important). Il s'agit encore d'un problème de lecture de format binaire (.pub), mais vous n'êtes vulnérables que si vous avez installé Publisher.

MS08-013 - Une vulnérabilité dans Microsoft Office pourrait permettre l'exécution de code à distance (947108)

Cette vulnérabilité concerne vbe6.dll et est critique pour Office 2000 SP3 et importante pour Office XP SP3, Office 2003 SP2 et Office 2004 pour Mac. Une solution de contournement est de limiter l'accès à vbe6.dll par une ACL.

Pour conclure :

  • Certaines de ces vulnérabilités font déjà l'objet d'exploits. La mise à jour est urgente, notamment sur IIS, WebDAV, Works et IE.
  • Pour les particuliers, vérifiez que vous utilisez Microsoft Update, de façon à mettre à jour vos applications en plus de votre système.
  • Pour les entreprises, le guide de gestion des mises à jour a été mis à jour en français.
  • Dure semaine ! Pour vos autres systèmes, n'oubliez pas les (grosses) mises à jour de la semaine : Mac OS, Linux.