Fidèle à ses bonnes habitudes, Microsoft a publié cette semaine, comme tous les deuxièmes mardi du mois, sa fournée mensuelle de correctifs de sécurité. Cinq patchs sont proposés au téléchargement, qui viennent combler huit vulnérabilités concernant différentes éditions de Windows ou certains de leurs composants. La faille relative à IIS, le serveur Web de l'OS de Microsoft n'est cependant pas corrigée. Ironie du sort, une nouvelle vulnérabilité vient par ailleurs de faire son apparition.
Le bulletin de sécurité publié par Microsoft évoque donc cinq correctifs, tous qualifiés de critique. Les trois premiers adressent des problèmes détectés au niveau moteur JavaScript, du service de configuration automatique de réseau local sans fil et du format Windows Media, susceptibles de permettre l'exécution de code malveillant à distance, par l'intermédiaire d'une page Web ou d'un fichier multimédia piégé de façon à en tirer parti.
Le quatrième, MS09-048, corrige une série de vulnérabilités liées au protocole TCP-IP qui aurait pu être utilisée pour une attaque par déni de service ou l'exécution de code à distance. « Ces vulnérabilités pourraient permettre l'exécution de code à distance si un attaquant envoyait des paquets TCP/IP spécialement conçus à un ordinateur avec un service d'écoute sur le réseau », explique l'éditeur. Le dernier, enfin, corrige une vulnérabilité dans le contrôle ActiveX du composant d'édition DHTML.
A un niveau ou à un autre, toutes les éditions de Windows depuis 2000 SP4 sont concernées par au moins un de ces correctifs. Les utilisateurs sont donc invités à installer sans attendre les mises à jour proposées par son système.
Comme le savent bien les éditeurs, la sécurité informatique est une perpétuelle gageure. Une nouvelle faille a ainsi été portée à la connaissance du public lundi, juste avant la publication de ces correctifs. Découverte par Laurent Gaffié, chercheur en sécurité, elle affecte le protocole SMB 2.0 (Server Message Block), lié au partage de fichiers et d'imprimantes. Microsoft a depuis confirmé son existence. En fonction de la gravité de cette dernière, l'éditeur pourra choisir d'attendre la livraison des correctifs du mois d'octobre ou anticiper la mise en ligne d'une rustine dédiée.