Microsoft vient de mettre à disposition les mises à jour prévues dans le Patch Tuesday de ce mois d’août. Contrairement au moins de juillet, ce bulletin de sécurité est plus consistent. Il contient 6 failles qualifiées de critiques, ainsi que 5 failles de niveau important.
Parmi les produits touchés, on retrouve toutes la gamme de système d’exploitation : Windows 2000, Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008 mais aussi les produits Office 2000/XP/2003/2007, Office 2004/2008 pour Mac, Office SharePoint Server 2007, Internet Explorer 6 et 7, Outlook Express 6, Windows Mail, et Windows Messenger.

Voici le détail des différents correctifs :

• MS08-041, classifié de critique, il corrige une vulnérabilité rapportée dans le controle ActiveX de Office Access 2000/2002/2003. Un attaquant qui a avec succès exploité ces vulnérabilités pourrait prendre le contrôle complet d'un système affecté. Un attaquant pourrait alors installer des programmes ; ou créer les nouveaux comptes avec les droits d’administrateurs.

• MS08-042, classifié comme important, il résout quatre vulnérabilités rapportées dans Office Word 2002/2003. Un attaquant qui a avec succès exploité ces vulnérabilités en créant un fichier word spécifique, pourrait prendre le contrôle complet d'un système affecté. Un attaquant pourrait alors installer des programmes ; ou créer les nouveaux comptes avec les droits d’administrateurs.

• MS08-043, classifié comme critique, il résout une vulnérabilité rapportée dans Office Excel 2000/2002/2003/2007, Excel 2004/2008 pour Mac, le pack de compatibilité des fichiers aux formats Office 2007, et Office SharePoint Server 2007. Un attaquant qui a avec succès exploité ces vulnérabilités en créant un fichier excel spécifique, pourrait prendre le contrôle complet d'un système affecté. Un attaquant pourrait alors installer des programmes ; ou créer les nouveaux comptes avec les droits d’administrateurs.

• MS08-044, classifié comme critique, il résout cinq vulnérabilités rapportées dans Office 2000/XP/2002/2003. Un attaquant qui a avec succès exploité ces vulnérabilités pourrait prendre le contrôle complet d'un système affecté. Un attaquant pourrait alors installer des programmes ; ou créer les nouveaux comptes avec les droits d’administrateurs.

• MS08-045, classifiée de critique, il corrige cinq vulnérabilités rapportées dans Internet Explorer 6/7 et 8 Beta1. Un attaquant pourrait exécuter à distance un code par le biais du chargement d'une page web, qui permettrait de prendre le contrôle total de la machine. Un attaquant pourrait alors installer des programmes ; ou créer les nouveaux comptes avec les droits d’administrateurs.

• MS08-046, classifié comme critique, il résout une vulnérabilité rapportée dans le système Microsoft Image Color Management de Windows 2000/2003 et Windows XP SP2. Ces vulnérabilités pourraient permettre à un attaquant distant de réorienter le trafic réseau destiné aux systèmes sur Internet sur les systèmes qu’il aurait pu mettre en place.

• MS08-047, classifié d'important, il corrige une vulnérabilité rapportée dans certaines règles IPSEC qui peuvent être appliquées sur Windows Vista et Windows Server 2008. Cette vulnérabilité permet d'ignorer des politiques IPsec et transmettre en clair du trafic  réseau. Un attaquant sniffant le trafic sur le réseau pourrait regarder et modifier le contenu du trafic. Notez que cette vulnérabilité ne permettrait pas à un attaquant d'exécuter le code ou d'élever leurs droits d'utilisateur. Elle pourrait être employée pour collecter des informations utiles pour essayer de compromettre le système.

• MS08-048, classifié d'important, il corrige une vulnérabilité rapportée dans Outlook Express 6 et Windows Mail. Un attaquant qui a avec succès exploité ces vulnérabilités pourrait des informations qui pourrait compromettre le système.

• MS08-049, classifiée comme important, il résout deux vulnérabilités rapportées dans les journaux d'événements système de Windows 2000/2003/2008,Windows XP SP2, et Windows Vista. Un attaquant qui a avec succès exploité ces vulnérabilités pourrait prendre le contrôle complet d'un système affecté. Un attaquant pourrait alors installer des programmes ; ou créer les nouveaux comptes avec les droits d’administrateurs.

• MS08-050, classifié comme critique, il résout une vulnérabilité rapportée dans Windows Messenger 4.7 et 5.1. Un attaquant pourrait utiliser un scripting ActiveX afin de révéler des informations sur le système.

• MS08-051, classifié d'important, il corrige trois vulnérabilités rapportées dans Office PowerPoint 2000/2002/2003/2007. Un attaquant qui a avec succès exploité ces vulnérabilités en créant un fichier powerpoint spécifique, pourrait prendre le contrôle complet d'un système affecté. Un attaquant pourrait alors installer des programmes ; ou créer les nouveaux comptes avec les droits d’administrateurs.

Ces correctifs sont disponibles par Microsoft Update ou par le Centre de téléchargement Microsoft.

Aout 2008 - Image ISO des mises à jour de sécurité : Ici

Retrouver l'ensemble des informations concernant ce bulletin de sécurité : Ici