Sept exécutions distantes de code arbitraire et une élévation de privilèges dans les produits Microsoft

Par Rédaction, secuobs.com
Le 05/12/2008

---

Résumé : La prochaine série de correctifs de sécurité issue de Microsoft devrait confirmer la présence, dans les produits de la marque, de huit vulnérabilités dont sept pourraient être exploitables à distance via l'exécution de code arbitraire alors que la huitième permettrait de réaliser une élévation de privilèges. Une mise à jour pour l'utilitaire Malicious Software Removal Tool est également prévue. - Lire l'article



Microsoft devrait publier, le mardi 10 octobre 2008, huit nouveaux bulletins de sécurité. Parmi les vulnérabilités concernées, six seraient considérées comme étant d’un niveau critique ( lien ), les deux restantes se voyant évaluées comme « seulement » importantes. Sur ces huit, sept seraient potentiellement exploitables afin de permettre une éventuelle compromission via l’exécution à distance de code arbitraire, la dernière serait quant à elle une « simple » élévation de privilèges.

Quatre des mises à jour relatives à ces vulnérabilités nécessiteraient obligatoirement un redémarrage des systèmes d’exploitation sur lesquels elles auraient à être appliquées ; des doutes subsisteraient cependant sur une cinquième, parmi ces huit, qui serait également dans ce cas. Pour les systèmes affectés, la liste devrait être la suivante : Windows Vista pour les architectures x86 et x64, Windows XP (x86 et x64), Windows 2000 ainsi que Windows Server 2003 (x86 et x64), et Windows Server 2008 (x86 et x64).

Au niveau des applications faillibles de cette dernière série de l’année 2008, on retrouverait Visual Basic et Visual Studio .NET, les versions 2000, 2002, 2003 et 2007 de la suite bureautique Office pour PC et les versions 2004 et 2008 de celle-ci pour les systèmes d'exploitation de Apple ; l’ensemble des versions inférieures à la version 6.4 incluse de Windows Media Player et le navigateur Internet Explorer pour toutes ses versions supérieures ou égales à la version 5 en feraient également partie.

Plus précisément, on listerait deux failles critiques pour les systèmes Windows avec des probabilités d’exécution de code à distance ainsi qu’une faille de même criticité pour Internet Explorer induisant des effets de bord semblables sur ces systèmes Windows. Vient ensuite la faille dans Visual Basic et Visual Studio .NET qui affecterait de façon critique la suite Office ainsi que les différents outils de développement disponibles chez Microsoft.

Trois autres failles toucheraient respectivement cette même suite depuis Word, Excel et Sharepoint ; seule la faille issue de ce dernier ne serait pas critique mais importante puisqu’elle permettrait de réaliser la seule élévation de privilèges de cette cuvée. La dernière vulnérabilité est pour le lecteur Windows Media Player, elle aurait un impact distant tout aussi critique pour la sécurité du système ciblé.

En dehors de ces différentes vulnérabilités, des mises à jour prioritaires sont prévues au programme pour les composants Windows Update (WU) et Windows Server Update Services (WSUS), elles ne concerneraient cependant pas la sécurité liée à leur utilisation.

Comme à l’accoutumé, une mise à jour pour l’outil de désinfection MSRT ( Malicious Software Removal Tool - lien ) devrait être disponible. Lors de la mise à jour de novembre, ce dernier aurait été en mesure de nettoyer près d’un million ( lien ) d’ordinateurs infectés par un faux antivirus ( W32/FakeSecSen - lien ) dont plus de la moitié était située aux Etats-Unis et environ cinquante mille en France.

A noter qu’un des bulletins, qui était prévu pour ce mois de décembre, aurait finalement été retiré au dernier moment par Microsoft pour des raisons encore inconnues ; une des failles corrigée aurait par ailleurs été identifiée depuis le mois d’avril dernier soit une fenêtre d’exploitation, qui serait constatée et avérée, d’au moins huit mois.

Source : Ars Technica ( lien ) et le bulletin préliminaire de microsoft ( lien )