Le deuxième mercredi de chaque mois, Microsoft propose sa mise à jour de sécurité mensuelle destinée à corriger diverses vulnérabilités. Mais Firefox n'est pas en reste aujourd'hui, avec 12 failles.
au sommaire
Petite collection de vulnérabilités informatiques diverses et correctifs
Microsoft
Au menu du jour, la correction d'une faille de sécurité pour JView Profiler, un composant obscur de la machine virtuelle JavaJava de MicrosoftMicrosoft. Cette faille permettrait à une personne malveillante de prendre le contrôle total de l'ordinateur grâce à une page web piégée. Ce correctif, qui est en fait une simple rustine et non une vraie solution (installation d'un killbit dans la base de registre bloquant les tentative d'utilisation de la faille) avait été publié il y a quelque temps en raison de la gravitégravité du risque. Il est disponible maintenant dans la mise à jour automatique.
Deux autres failles extrêmement critiques affectent également des produits Microsoft. L'une est dans le module de gestion des couleurscouleurs de Windows : elle résulte d'un débordement de mémoire tampon lors de la validation des profils ICC. Elle peut être exploitée par une page web ou un mail contenant une image piégée (un profil ICC est un descriptif normalisé de la manière dont un périphérique assure le rendu des couleurs). Selon Microsoft cette vulnérabilité a déjà été exploitée.
L'autre faille, toujours par débordement de mémoire tampon, concerne le gestionnaire des polices de Word. Elle pourrait être exploitée par un document Word piégé. Attention, les mises à jour d'Office doivent être chargées séparément car elles sont distinctes des mises à jour de Windows et Internet Explorer.
Mozilla Firefox
Douze vulnérabilités ont été identifiées dans Mozilla et Firefox. Elles pourraient être exploitées par des sites malicieux afin de compromettre un système vulnérable ou réaliser des attaques par spoofingspoofing ou cross site scriptingcross site scripting. Ces problèmes résultent d'erreurs multiples présentes au niveau du traitement des documents XHTML, JavaScript, XBL, et diverses autres fonctions. Ces failles pourraient compromettre l'ordinateur ciblé, ou pourraient permettre d'obtenir des informations sensibles.
La solution est de passer à la version 1.05 de Firefox, ou 1.7.9 de Mozilla, mais la version française de ces produits n'est pas encore disponible.