Parmi les neuf vulnérabilités de sécurité corrigées par Microsoft, deux vulnérabilités 0-day ont particulièrement fait parler d'elle ces dernières semaines. Une mise à jour s'adresse ainsi spécifiquement à Windows XP et Windows Server 2003 pour corriger une vulnérabilité dans le contrôle ActiveX Video. Afin de prévenir son exploitation via Internet Explorer qui ne doit normalement pas instancier ce contrôle ActiveX, Microsoft fournit des kill bits.

Cette vulnérabilité 0-day de type exécution de code à distance est actuellement exploitée sur Internet, et si Windows Vista et Windows Server 2008 ne sont pas affectés, Microsoft recommande tout de même pour ces systèmes d'exploitation l'application de la mise à jour de sécurité cumulative pour les kill bits ActiveX.

L'autre faille récemment médiatisée qui a été comblée se décline au pluriel et concerne le filtre DirectShow. Windows 2000, XP et Server 2003 sont concernés par trois vulnérabilités dans DirectShow dont on sait qu'une fait actuellement l'objet d'une exploitation. Dans son bulletin, Microsoft explique que la mise à jour modifie la façon dont DirectShow traite les fichiers multimédia QuickTime. Certains spécialement conçus permettent une exécution de code à distance avec les mêmes privilèges que l'utilisateur courant. Si QuickTime est mentionné, le logiciel d'Apple n'est pas impliqué et une exploitation peut avoir lieu sans sa présence sur une machine cible.

Le Patch Tuesday du 14 juillet permet également de corriger deux vulnérabilités Microsoft Embedded OpenType Font Engine, avec pour ce composant toutes les éditions de Windows dont Microsoft assure le support qui sont concernées. Il 'agit du troisième et ultime bulletin de sécurité dit critique sur les six mis à disposition.

Les trois derniers bulletins de sécurité sont estampillés importants et proposent le nécessaire pour corriger une vulnérabilité dans Publisher de la suite Office 2007, Virtual PC 2004 et 2007 / Virtual Server 2005 R2, et Microsoft Internet Security and Acceleration ( ISA ) 2006.


La synthèse des bulletins de sécurité Microsoft de juillet 2009