Bullletins de sécurité du 8 juillet
Très petit mois pour l'été : 4 bulletins seulement "importants". Suite aux prévisions de jeudi dernier, il me semble aujourd'hui que les administrateurs de postes de travail Vista (MS08-038) et les administrateurs SQL Server (MS08-040) vont être les plus sollicités pour tester et patcher rapidement.
| Bulletin | Description | Criticité |
|---|---|---|
| MS08-037 | Des vulnérabilités dans DNS pourraient permettre une usurpation de contenu (953230) | Important |
| MS08-038 | Une vulnérabilité dans l'Explorateur Windows pourrait permettre l'exécution de code à distance (950582) | Important |
| MS08-039 | Des vulnérabilités dans Outlook Web Access for Exchange Server pourraient permettre une élévation de privilèges (953747) | Important |
| MS08-040 | Des vulnérabilités dans Microsoft SQL Server pourraient permettre une élévation de privilèges (941203) | Important |
MS08-037 concerne une vulnérabilité de type spoofing dans le client et le serveur DNS (Windows 2000, XP, 2003 et 2008) - Le client DNS de Windows Vista n'est pas vulnérable.
MS08-038 concerne deux vulnérabilités de l'explorateur (en fait, shell32.dll) de Windows Vista et Windows Server 2008. L'installation Core de ce dernier est concernée au même titre que l'installation complète. La première concerne les recherches enregistrées et la seconde la clé NoDriveTypeAutoRun. Etant donné que ce second problème est bien connu, je conseille fortement l'installation rapide de cette mise à jour sur les postes Windows Vista.
MS08-039 corrige deux cross-site scriptings dans OWA pour Exchange 2003 et Exchange 2007.
Enfin, MS08-040 concerne 4 vulnérabilités dont une élévation de privilèges dans toutes les versions supportées de SQL Server, MSDE, Windows Internal Database.
Voir également les infos de l'ISC. Il est intéressant de voir qu'ils ont un jugement différent sur la criticité de MS08-038 (critique sur les clients), MS08-039 et MS08-040 (critiques sur les serveurs).
En complément, une mise à jour du client Windows Update sera diffusée vers la fin du mois de juillet. Assurez-vous que votre client Automatic Update n'est pas désactivé afin d'être sûr de recevoir cette mise à jour. Plus de détail sur le blog de Microsoft Update.
Patchez-vous bien !