Le Patch Tuesday du mois de février 2009 a livré ses secrets. Au programme quatre mises à jour de sécurité pour combler huit vulnérabilités d'exécution de code à distance. La mise à jour qui intéressera le plus grand monde est sans nul doute celle dévolue au navigateur Web Internet Explorer dans sa version 7, affecté par deux vulnérabilités à l'indice de gravité qualifié de critique tant sous Windows XP que sous Windows Vista.


Mise à jour cumulative pour IE7
Comme ces vulnérabilités ont été signalées à Microsoft de manière confidentielle, le risque d'exploitation est faible... ou du moins l'était jusqu'à aujourd'hui. La première vulnérabilité est due à un problème dans la manière dont Internet Explorer accède à un objet qui a été supprimé, Microsoft indiquant qu'un attaquant pourrait exploiter cette vulnérabilité en créant une page Web malveillante pour obtenir les mêmes droits que l'utilisateur connecté.

La deuxième vulnérabilité est relative à un problème de corruption de mémoire au niveau du traitement des feuilles de sytle CSS. Une exploitation nécessite la consultation d'une page Web malveillante.

Pour ces deux vulnérabilités, le risque est d'autant plus élevé pour les utilisateurs Windows dont Internet Explorer 7 est le navigateur par défaut et qui surfent sur la Toile sous un compte administrateur.


Les trois autres bulletins de sécurité
MS09-003 (critique) : corrige deux vulnérabilités signalées confidentiellement dans Microsoft Exchange Server 2000, 2003 et 2007.

MS09-004 (important) : corrige une vulnérabilité signalée confidentiellement dans Microsoft SQL Server 2000, 2005.

MS09-005 (important) : corrige trois vulnérabilités signalées confidentiellement dans Microsoft Office Visio 2000, 2003 et 2007.