Patch Tuesday : Microsoft corrige 14 vulnérabilités
dont 7 critiques, Windows 8, RT et IE 10 concernés


Microsoft a publié hier sa traditionnelle mise à jour de sécurité mensuelle (Patch Tuesday), qui apporte des correctifs pour les dernières versions de ses produits : Windows 8, Windows RT, Windows Server 2012 et Internet Explorer 10.

La dernière mise à jour de sécurité (sauf en cas de découverte d’une faille zero-day) de l’année corrige une douzaine de failles dans Windows, IE, Word et Exchange, dont sept ont été marquées comme critique et deux ont été qualifiées d’importants.

Ces failles dans l’ensemble peuvent être exploitées par des pirates distants pour prendre le contrôle du système de l’utilisateur par injection de code. Il est important de noter qu’elles ne sont pratiquement pas exploitées, car elles ont été signalées confidentiellement à Microsoft par des experts en sécurité.

Les correctifs sont regroupés au sein de sept bulletins, dont cinq sont critiques. Le bulletin MS12-077 corrige trois bogues dans IE9 et un dans IE10. Les experts en sécurité accordent une attention particulière à ce bulletin, compte tenu de la fréquence d’utilisation des navigateurs.

Les vulnérabilités concernent la manière dont Internet Explorer accède à un objet en mémoire qui a été supprimé. Elles peuvent corrompre la mémoire de telle sorte qu’un pirate soit capable d’exécuter du code arbitraire sur le système affecté.

La mise à jour pour Word corrige une vulnérabilité critique dans les éditions 2007 et 2010, portant sur la manière dont le logiciel traite les données au format RTF. La faille peut être exploitée via l’envoi des mails malveillants dans Outlook alors que Word est configuré comme visionneuse. La nouvelle version de la suite bureautique (Office 2013) n’est pas concernée.

Les bulletins MS12-082 et MS12-083 corrigent un bug important dans l’explorateur Windows DirectPlay et dans le composant IP-HTTPS, qui est utilisé pour créer une connexion VPN sécurisée. Trois vulnérabilités sont également corrigées dans le serveur de messagerie Exchange.

Les autres plateformes concernées par cette mise à jour sont Windows XP, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2008 et Windows Server 2008 R2.

Les mises à jour sont téléchargeable via Windows Update.


Source : Microsoft Security