Vous trouverez, ci-dessous, le détail (en anglais) des correctifs du mois
d'octobre.
En résumé, Microsoft publie 10 bulletins de sécurité relatifs à Microsoft
Office, Microsoft Windows et Microsoft Exchange.
Trois bulletins sont évalués au niveau Important et sept sont jugés
critiques.
En complément, Microsoft met a jour un bulletin déjà publié autour de
Microsoft Office XP. Cette mise à jour ne concerne que l'utilisation
d'Office XP sur Windows XP Service Pack 2. Les autres systèmes ne changent
pas. Nottons, au passage, que cette mise à jour est le seul bulletin qui est
relatif à Windows XP Service Pack 2 ; ce qui démontre l'intérêt d'appliquer
ce service pack lorsque vous pouvez le faire !
Cdlt
Stéphane
Texte original en anglais :
Microsoft is releasing 10 security bulletins for newly discovered
vulnerabilities in Microsoft Office, Microsoft Windows and Microsoft
Exchange.
Important MS04-029 Microsoft Windows Information Disclosure and
Denial of Service
Important MS04-030 Microsoft Windows Denial of Service
Important MS04-031 Microsoft Windows Remote Code Execution
Critical MS04-032 Microsoft Windows Remote Code Execution
Critical MS04-033 Microsoft Office Code Execution
Critical MS04-034 Microsoft Windows Remote Code Execution
Critical MS04-035 Microsoft Windows, Microsoft Exchange
Remote Code Execution
Critical MS04-036 Microsoft Windows, Microsoft Exchange
Remote Code Execution
Critical MS04-037 Microsoft Windows Remote Code Execution
Critical MS04-038 Microsoft Windows Remote Code Execution
Summaries for these new bulletins may be found at the following pages:
This revised update is ONLY for customers running Office XP, Visio 2002 and
Project 2002 on Windows XP Service Pack 2. This re-release does not affect
any other products. This re-release also does not affect customers running
Office XP, Visio 2002 and Project 2002 on platforms other than Windows XP
Service Pack 2, including Windows XP SP1.
This new update is for Windows Journal Viewer ONLY.
Information on this re-released bulletin and these tools may be found at the
following pages:
Customers are advised to review the information in the bulletins, test and
deploy the updates immediately in their environments, if applicable.
RESOURCES RELATED TO THIS ALERT
- Note: Some Knowledge Base articles may take up to 24 hours to appear.
- Microsoft Knowledge Base Article 885876 documents the issues around the
original release of this security update for Office XP, Visio 2002 and
Project 2002 on Windows XP Service Pack 2.
http://support.microsoft.com/?kbid5876
- Microsoft Knowledge Base Article 886988 documents the MS04-028 Enterprise
Scanning Tool.
http://support.microsoft.com/?kbid6988
- Information about MS04-028 for ISVs and developers is available here:
Title: Vulnerability in RPC Runtime Library Could Allow Information
Disclosure and Denial of Service (873350)
Affected Software:
- Microsoft Windows NT Server 4.0 Service Pack 6a
- Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack 6
Impact of Vulnerability: Information Disclosure and Denial of Service
Maximum Severity Rating: Important
Restart required: In some cases, this update does not require a restart.
The installer stops the needed services, applies the update, and then
restarts the services. However, if the required services cannot be stopped
for any reason or if required files are in use, this update will require a
restart. If this occurs, a message appears that advises you to restart.
Update can be uninstalled: Yes
More information on this vulnerability is available at:
http://www.microsoft.com/technet/security/bulletin/MS04-029.mspx
Title: Vulnerability in WebDav XML Message Handler Could Lead to a Denial
of Service (824151)
Affected Software:
- Microsoft Windows 2000 Service Pack 3 and Microsoft Windows 2000 Service
Pack 4
- Microsoft Windows XP, Microsoft Windows XP Service Pack 1 and Microsoft
Windows XP Service Pack 2
- Microsoft Windows XP 64-Bit Edition Service Pack 1
- Microsoft Windows XP 64-Bit Edition Version 2003
- Microsoft Windows ServerT 2003
- Microsoft Windows Server 2003 64-Bit Edition
Affected Components:
- Internet Information Server 5.0
- Internet Information Services 5.1
- Internet Information Server 6.0
Impact of Vulnerability: Denial of Service
Maximum Severity Rating: Important
Restart required: In some cases, this update does not require a restart. The
installer stops the required services, applies the update, and then restarts
the services. However, if the required services cannot be stopped for any
reason or if required files are in use, this update will require a restart.
If this occurs, a message appears that advises you to restart.
Update can be uninstalled: Yes
More information on this vulnerability is available at:
http://www.microsoft.com/technet/security/bulletin/MS04-030.mspx
Title: Vulnerability in NetDDE Could Allow Remote Code Execution (841533)
Affected Software:
- Microsoft Windows NT Server 4.0 Service Pack 6a
- Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack 6
- Microsoft Windows 2000 Service Pack 3 and Microsoft Windows 2000 Service
Pack 4
- Microsoft Windows XP and Microsoft Windows XP Service Pack 1
- Microsoft Windows XP 64-Bit Edition Service Pack 1
- Microsoft Windows XP 64-Bit Edition Version 2003
- Microsoft Windows Server 2003
- Microsoft Windows Server 2003 64-Bit Edition
- Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE), and
Microsoft Windows Millennium Edition (Me) - Review the FAQ section of this
bulletin for details about these operating systems.
Impact of Vulnerability: Remote Code Execution
Maximum Severity Rating: Important
Restart required: In some cases, this update does not require a restart. The
installer stops the required services, applies the update, and then restarts
the services. However, if the required services cannot be stopped for any
reason or if required files are in use, this update will require a restart.
If this occurs, a message appears that advises you to restart.
Update can be uninstalled: Yes
More information on this vulnerability is available at:
http://www.microsoft.com/technet/security/bulletin/MS04-031.mspx
Title: Security Update for Microsoft Windows (840987)
Affected Software:
- Microsoft Windows NT Server 4.0 Service Pack 6a
- Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack 6
- Microsoft Windows 2000 Service Pack 3 and Microsoft Windows 2000 Service
Pack 4
- Microsoft Windows XP and Microsoft Windows XP Service Pack 1
- Microsoft Windows XP 64-Bit Edition Service Pack 1
- Microsoft Windows XP 64-Bit Edition Version 2003
- Microsoft Windows ServerT 2003
- Microsoft Windows Server 2003 64-Bit Edition
- Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE), and
Microsoft Windows Millennium Edition (Me) - Review the FAQ section of this
bulletin for details about these operating systems.
Impact of Vulnerability: Remote Code Execution
Maximum Severity Rating: Critical
Restart required: In some cases, this update does not require a restart. The
installer stops the required services, applies the update, and then restarts
the services. However, if the required services cannot be stopped for any
reason or if required files are in use, this update will require a restart.
If this occurs, a message appears that advises you to restart.
Update can be uninstalled: Yes
More information on this vulnerability is available at:
http://www.microsoft.com/technet/security/bulletin/MS04-032.mspx
Title: Vulnerability in Compressed (zipped) Folders Could Allow Code
Execution (873376)
Affected Software:
- Microsoft Windows XP and Microsoft Windows XP Service Pack 1
- Microsoft Windows XP 64-Bit Edition Service Pack 1
- Microsoft Windows XP 64-Bit Edition Version 2003
- Microsoft Windows Server 2003
- Microsoft Windows Server 2003 64-Bit Edition
Impact of Vulnerability: Remote Code Execution
Maximum Severity Rating: Critical
Restart required: In some cases, this update does not require a restart.
The installer stops the required services, applies the update, and then
restarts the services. However, if the required services cannot be stopped
for any reason or if required files are in use, this update will require a
restart. If this occurs, a message appears that advises you to restart.
Update can be uninstalled: Yes
More information on this vulnerability is available at:
http://www.microsoft.com/technet/security/bulletin/MS04-034.mspx
Title: Vulnerability in SMTP Could Allow Remote Code Execution (885881)
Affected Software:
- Microsoft Windows XP 64-Bit Edition Version 2003
- Microsoft Windows Server 2003
- Microsoft Windows Server 2003 64-Bit Edition
- Microsoft Exchange Server 2003 and Microsoft Exchange Server 2003 Service
Pack 1 when installed on Microsoft Windows Server 2003 (uses the Windows
2003 SMTP component)
- Microsoft Exchange Server 2003 when installed on Microsoft Windows 2000
Service Pack 3 or Microsoft Windows 2000 Service Pack 4
Affected Components:
- Microsoft Windows XP 64-Bit Edition Version 2003 SMTP component
- Microsoft Windows ServerT 2003 SMTP component
- Microsoft Windows Server 2003 64-Bit Edition SMTP component
- Microsoft Exchange Server 2003 Routing Engine component
Impact of Vulnerability: Remote Code Execution
Maximum Severity Rating: Critical
Restart required: You must restart your system after you apply this
security update.
Update can be uninstalled:
More information on this vulnerability is available at:
http://www.microsoft.com/technet/security/bulletin/MS04-035.mspx
Title: Vulnerability in NNTP Could Allow Code Execution (883935)
Affected Software:
- Microsoft Windows NT Server 4.0 Service Pack 6a
- Microsoft Windows 2000 Server Service Pack 3 and Microsoft Windows 2000
Server Service Pack 4
- Microsoft Windows ServerT 2003
- Microsoft Windows Server 2003 64-Bit Edition
- Microsoft Exchange 2000 Server Service Pack 3 (Uses Windows 2000 NNTP
Component)
- Microsoft Exchange Server 2003 (Uses Windows 2000 or Windows Server 2003
NNTP Component)
Affected Components:
- Microsoft Windows NT Server 4.0 Service Pack 6a NNTP Component
- Microsoft Windows 2000 Server Service Pack 3 NNTP Component and Microsoft
Windows 2000 Server Service Pack 4 NNTP Component
- Microsoft Windows ServerT 2003 NNTP Component
- Microsoft Windows Server 2003 64-Bit Edition NNTP Component
Impact of Vulnerability: Remote Code Execution
Maximum Severity Rating: Critical
Restart required: In some cases, this update does not require a restart.
The installer stops the required services, applies the update, and then
restarts the services. However, if the required services cannot be stopped
for any reason or if required files are in use, this update will require a
restart. If this occurs, a message appears that advises you to restart.
Update can be uninstalled: Yes
More information on this vulnerability is available at:
http://www.microsoft.com/technet/security/bulletin/MS04-036.mspx
Title: Vulnerability in Windows Shell Could Allow Remote Code Execution
(841356)
Affected Software:
- Microsoft Windows NT Server 4.0 Service Pack 6a
- Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack 6
- Microsoft Windows 2000 Service Pack 3, Microsoft Windows 2000 Service
Pack 4
- Microsoft Windows XP and Microsoft Windows XP Service Pack 1
- Microsoft Windows XP 64-Bit Edition Service Pack 1
- Microsoft Windows XP 64-Bit Edition Version 2003
- Microsoft Windows Server 2003
- Microsoft Windows Server 2003 64-Bit Edition
- Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE), and
Microsoft Windows Millennium Edition (Me) - Review the FAQ section of this
bulletin for details about these operating systems.
Impact of Vulnerability: Remote Code Execution
Maximum Severity Rating: Critical
Restart required: In some cases, this update does not require a restart.
The installer stops the required services, applies the update, and then
restarts the services. However, if the required services cannot be stopped
for any reason or if required files are in use, this update will require a
restart. If this occurs, a message appears that advises you to restart.
Update can be uninstalled: Yes
More information on this vulnerability is available at:
http://www.microsoft.com/technet/security/bulletin/MS04-037.mspx
Title: Cumulative Security Update for Internet Explorer (834707)
Affected Software:
- Microsoft Windows NT Server 4.0 Service Pack 6a
- Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack 6
- Microsoft Windows 2000 Service Pack 3 and Microsoft Windows 2000 Service
Pack 4
- Microsoft Windows XP, Microsoft Windows XP Service Pack 1, and Microsoft
Windows XP Service Pack 2
- Microsoft Windows XP 64-Bit Edition Service Pack 1
- Microsoft Windows XP 64-Bit Edition Version 2003
- Microsoft Windows Server 2003
- Microsoft Windows Server 2003 64-Bit Edition
- Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE), and
Microsoft Windows Millennium Edition (Me) - Review the FAQ section of this
bulletin for details about these operating systems.
Affected Components:
- Internet Explorer 5.01 Service Pack 3
- Internet Explorer 5.01 Service Pack 4
- Internet Explorer 5.5 Service Pack 2 on Microsoft Windows Me
- Internet Explorer 6
- Internet Explorer 6 Service Pack 1 on Microsoft Windows 2000 Service Pack
3, Microsoft Windows Service Pack 4, Microsoft Windows XP, Microsoft Windows
XP Service Pack 1
- Internet Explorer 6 Service Pack 1 on Microsoft Windows NT Server 4.0
Service Pack 6a, Microsoft Windows NT Server 4.0 Terminal Service Edition
Service Pack 6, Microsoft Windows 98, Microsoft Windows 98 SE, and Microsoft
Windows Me
- Internet Explorer 6 Service Pack 1 (64-Bit Edition)
- Internet Explorer 6 for Windows Server 2003
- Internet Explorer 6 for Windows Server 2003 (64-Bit Edition)
- Internet Explorer 6 for Windows XP Service Pack 2
Impact of Vulnerability: Remote Code Execution
Maximum Severity Rating: Critical
Restart required: You must restart your system after you apply this security
update. You do not have to use an administrator logon after the computer
restarts for any version of this update.
Update can be uninstalled: Yes
More information on this vulnerability is available at:
http://www.microsoft.com/technet/security/bulletin/MS04-038.mspx
Title: Buffer Overrun in JPEG Processing Could Allow Code Execution
(833987)
Affected Software (Re-release only):
- Microsoft Office XP Service Pack 3
- Microsoft Word 2002
- Microsoft Excel 2002
- Microsoft Outlook 2002
- Microsoft PowerPoint 2002
- Microsoft Project 2002 (All Versions)
- Microsoft Visio 2002 (All Versions)
Affected Component (New release only):
- Windows Journal Viewer
Reason for Re-issue: After the release of the MS04-028 security bulletin,
Microsoft was made aware of an issue affecting customers deploying the
Office XP, Visio 2002, and Project 2002 updates on Windows XP Service Pack 2
based systems. This issue caused the security updates to appear to install
correctly, when in fact they did not. This is an issue with the installer
used in the security update. The updated versions of the affected files do
successfully address this vulnerability. Although Windows XP Service Pack 2
already contains the security update addressing the vulnerability in the
JPEG Parsing Engine that is supplied by the operating system, customers
still need to successfully apply the security update for Office XP, Vision
2002, and Project 2002 in order to be protected from this vulnerability when
using these applications. For more technical details on this issue, see
Microsoft Knowledge Base Article 885876.
More information on this re-issued bulletin is available at:
http://www.microsoft.com/technet/security/bulletin/MS04-028.mspx
Information on Windows Journal Viewer: The Windows Journal Viewer makes it
possible for users who do not have a system running Windows XP Tablet PC
Edition to view files that were created in Windows Journal on a Tablet PC.
The Windows Journal Viewer is vulnerable to the security vulnerability
discussed in this bulletin. However, when used on Windows XP based systems,
the Windows Journal Viewer uses the operating system supplied version of the
affected component. When the Windows XP operating system update is applied
on Windows XP and Windows XP Service Pack 1 based systems the Windows
Journal Viewer is no longer vulnerable to this issue. Windows XP Service
Pack 2 is not vulnerable to this issue, therefore the Windows Journal Viewer
when used on Windows XP Service Pack 2 based systems is not vulnerable to
this issue. We have now released a security update for Windows Journal
Viewer that will help protect Windows 2000-based systems that may have
installed the Windows Journal Viewer.
Even if you have installed all of the previously available security updates
on Windows 2000, if you have installed the Windows Journal Viewer, it is
important that you also install this security update. Windows Update will
offer this update only to Windows 2000-based systems that have installed the
Windows Journal Viewer. If you are using Windows XP or have not installed
the Windows Journal Viewer on Windows 2000, you do not need this security
update. This program is not supported on Windows Server 2003. However, if it
were installed on Windows Server 2003, it would also use the operating
system version of the vulnerable component. If you are using this program on
Windows Server 2003 make sure that you install the Windows Server 2003
security update.
PLEASE VISIT http://www.microsoft.com/technet/security FOR THE MOST CURRENT
INFORMATION ON THESE ALERTS.
En complément, Microsoft met a jour un bulletin déjà publié autour de Microsoft Office XP. Cette mise à jour ne concerne que l'utilisation d'Office XP sur Windows XP Service Pack 2. Les autres systèmes ne changent pas. Nottons, au passage, que cette mise à jour est le seul bulletin qui est relatif à Windows XP Service Pack 2 ; ce qui démontre l'intérêt d'appliquer ce service pack lorsque vous pouvez le faire !
Salutations *Stéphane [MS]* !
Dans http://groups.google.fr/groups?threadm=eLV0EnIsEHA.3428@TK2MSFTNGP11.phx.gbl
tu nous disais :
En complément, Microsoft met a jour un bulletin déjà publié autour de
Microsoft Office XP. Cette mise à jour ne concerne que l'utilisation
d'Office XP sur Windows XP Service Pack 2. Les autres systèmes ne
changent pas. Nottons, au passage, que cette mise à jour est le seul
bulletin qui est relatif à Windows XP Service Pack 2 ; ce qui
démontre l'intérêt d'appliquer ce service pack lorsque vous pouvez le
faire !
Désolé Stéphane, mais il y a une mise à jour qui concerne le SP2 et qui est
aussi (voire plus) importante :
http://www.microsoft.com/technet/security/Bulletin/ms04-038.mspx
AMHA, si il fallait n'en passer qu'une, ce serait celle là.
@+
--
~Jean-Marc~ MSAE & MVP Windows XP Fr
M'écrire : http://msmvps.com/docxp/contact.aspx
- http://perso.wanadoo.fr/doc.jm/ - http://msmvps.com/docxp/ -
Aide en DIRECT sur Internet : http://communautes-ms.akro-net.org/
En complément, Microsoft met a jour un bulletin déjà publié autour de Microsoft Office XP. Cette mise à jour ne concerne que l'utilisation d'Office XP sur Windows XP Service Pack 2. Les autres systèmes ne changent pas. Nottons, au passage, que cette mise à jour est le seul bulletin qui est relatif à Windows XP Service Pack 2 ; ce qui démontre l'intérêt d'appliquer ce service pack lorsque vous pouvez le faire !
AMHA, sur des postes sous Windows XP Service Pack, ce correctif est totalement inutile (ce n'est qu'une opinion personnelle). Le seul correctif apporté concerne le Drap&Drop d'éléments dans la fenêtre d'Internet Explorer. A moins de devenir complètement stupide, je ne ferais jamais une telle opération sur un site dont je ne serais pas absolument sûr.
Je serais nettement moins tranquille pour ce qui est des failles critiques qui permettent de l'exécution de code (32 à 37)...
Cdlt Stéphane
"~Jean-Marc~ [MVP]" a écrit dans le message de news:
En complément, Microsoft met a jour un bulletin déjà publié autour de Microsoft Office XP. Cette mise à jour ne concerne que l'utilisation d'Office XP sur Windows XP Service Pack 2. Les autres systèmes ne changent pas. Nottons, au passage, que cette mise à jour est le seul bulletin qui est relatif à Windows XP Service Pack 2 ; ce qui démontre l'intérêt d'appliquer ce service pack lorsque vous pouvez le faire !
AMHA, sur des postes sous Windows XP Service Pack, ce correctif est
totalement inutile (ce n'est qu'une opinion personnelle). Le seul correctif
apporté concerne le Drap&Drop d'éléments dans la fenêtre d'Internet
Explorer. A moins de devenir complètement stupide, je ne ferais jamais une
telle opération sur un site dont je ne serais pas absolument sûr.
Je serais nettement moins tranquille pour ce qui est des failles critiques
qui permettent de l'exécution de code (32 à 37)...
Cdlt
Stéphane
"~Jean-Marc~ [MVP]" <doc.j-m.OTER@ouanadoudou.fr> a écrit dans le message de
news: eYkXZHJsEHA.4004@TK2MSFTNGP10.phx.gbl...
Salutations *Stéphane [MS]* !
Dans
http://groups.google.fr/groups?threadm=eLV0EnIsEHA.3428@TK2MSFTNGP11.phx.gbl
tu nous disais :
En complément, Microsoft met a jour un bulletin déjà publié autour de
Microsoft Office XP. Cette mise à jour ne concerne que l'utilisation
d'Office XP sur Windows XP Service Pack 2. Les autres systèmes ne
changent pas. Nottons, au passage, que cette mise à jour est le seul
bulletin qui est relatif à Windows XP Service Pack 2 ; ce qui
démontre l'intérêt d'appliquer ce service pack lorsque vous pouvez le
faire !
Désolé Stéphane, mais il y a une mise à jour qui concerne le SP2 et qui
est
aussi (voire plus) importante :
http://www.microsoft.com/technet/security/Bulletin/ms04-038.mspx
AMHA, si il fallait n'en passer qu'une, ce serait celle là.
@+
--
~Jean-Marc~ MSAE & MVP Windows XP Fr
M'écrire : http://msmvps.com/docxp/contact.aspx
- http://perso.wanadoo.fr/doc.jm/ - http://msmvps.com/docxp/ -
Aide en DIRECT sur Internet : http://communautes-ms.akro-net.org/
AMHA, sur des postes sous Windows XP Service Pack, ce correctif est totalement inutile (ce n'est qu'une opinion personnelle). Le seul correctif apporté concerne le Drap&Drop d'éléments dans la fenêtre d'Internet Explorer. A moins de devenir complètement stupide, je ne ferais jamais une telle opération sur un site dont je ne serais pas absolument sûr.
Je serais nettement moins tranquille pour ce qui est des failles critiques qui permettent de l'exécution de code (32 à 37)...
Cdlt Stéphane
"~Jean-Marc~ [MVP]" a écrit dans le message de news:
En complément, Microsoft met a jour un bulletin déjà publié autour de Microsoft Office XP. Cette mise à jour ne concerne que l'utilisation d'Office XP sur Windows XP Service Pack 2. Les autres systèmes ne changent pas. Nottons, au passage, que cette mise à jour est le seul bulletin qui est relatif à Windows XP Service Pack 2 ; ce qui démontre l'intérêt d'appliquer ce service pack lorsque vous pouvez le faire !
AMHA, si il fallait n'en passer qu'une, ce serait celle là.
C'est aussi l'avis de Microsoft (source : Windows Update version 5 "consulter les mises à jour prioritaires").
Amicalement
-- Thierry MILLE www.lab-os.com
"~Jean-Marc~ [MVP]" <doc.j-m.OTER@ouanadoudou.fr> wrote in message
news:eYkXZHJsEHA.4004@TK2MSFTNGP10.phx.gbl...
Salutations *Stéphane [MS]* !
Dans
http://groups.google.fr/groups?threadm=eLV0EnIsEHA.3428@TK2MSFTNGP11.phx.gbl
tu nous disais :
Désolé Stéphane, mais il y a une mise à jour qui concerne le SP2 et qui
est
aussi (voire plus) importante :
http://www.microsoft.com/technet/security/Bulletin/ms04-038.mspx
AMHA, si il fallait n'en passer qu'une, ce serait celle là.
C'est aussi l'avis de Microsoft (source : Windows Update version 5
"consulter les mises à jour prioritaires").
AMHA, sur des postes sous Windows XP Service Pack, ce correctif est totalement inutile (ce n'est qu'une opinion personnelle). Le seul correctif apporté concerne le Drap&Drop d'éléments dans la fenêtre d'Internet Explorer. A moins de devenir complètement stupide, je ne ferais jamais une telle opération sur un site dont je ne serais pas absolument sûr.
Justement, c'est celle-ci qui est importante. Un PoC existe qui prouve que le D&D peut être sénéré par javascript à partir d'un défilement de l'ascenseur vertical. (et là, ça devient bien plus dangereux)
Salutations *Stéphane [MS]* !
Dans http://groups.google.fr/groups?threadm=uRnxgTJsEHA.3396@tk2msftngp13.phx.gbl
tu nous disais :
AMHA, sur des postes sous Windows XP Service Pack, ce correctif est
totalement inutile (ce n'est qu'une opinion personnelle). Le seul
correctif apporté concerne le Drap&Drop d'éléments dans la fenêtre
d'Internet Explorer. A moins de devenir complètement stupide, je ne
ferais jamais une telle opération sur un site dont je ne serais pas
absolument sûr.
Justement, c'est celle-ci qui est importante. Un PoC existe qui prouve que
le D&D peut être sénéré par javascript à partir d'un défilement de l'ascenseur
vertical. (et là, ça devient bien plus dangereux)
Cordialement
--
~Jean-Marc~ MSAE & MVP Windows XP Fr
M'écrire : http://msmvps.com/docxp/contact.aspx
- http://perso.wanadoo.fr/doc.jm/ - http://msmvps.com/docxp/ -
Aide en DIRECT sur Internet : http://communautes-ms.akro-net.org/
AMHA, sur des postes sous Windows XP Service Pack, ce correctif est totalement inutile (ce n'est qu'une opinion personnelle). Le seul correctif apporté concerne le Drap&Drop d'éléments dans la fenêtre d'Internet Explorer. A moins de devenir complètement stupide, je ne ferais jamais une telle opération sur un site dont je ne serais pas absolument sûr.
Justement, c'est celle-ci qui est importante. Un PoC existe qui prouve que le D&D peut être sénéré par javascript à partir d'un défilement de l'ascenseur vertical. (et là, ça devient bien plus dangereux)
Salutations *~Jean-Marc~ [MVP]* !
Dans http://groups.google.fr/groups?threadm=u2POxoJsEHA.1232@TK2MSFTNGP11.phx.gbl
tu nous disais :
le D&D peut être sénéré par javascript
Lire "généré", bien sur...
@+
--
~Jean-Marc~ MSAE & MVP Windows XP Fr
M'écrire : http://msmvps.com/docxp/contact.aspx
- http://perso.wanadoo.fr/doc.jm/ - http://msmvps.com/docxp/ -
Aide en DIRECT sur Internet : http://communautes-ms.akro-net.org/
Veuillez accepter toutes mes excuses ; il apparaît effectivement que ce bulletin est, effectivement, critique pour tous les systèmes d'exploitation en incluant le service pack 2 de Windows XP. Des messages commencent à circuler qui exploitent cette faille.
Cdlt Stéphane
"~Jean-Marc~ [MVP]" a écrit dans le message de news:
Veuillez accepter toutes mes excuses ; il apparaît effectivement que ce
bulletin est, effectivement, critique pour tous les systèmes d'exploitation
en incluant le service pack 2 de Windows XP. Des messages commencent à
circuler qui exploitent cette faille.
Cdlt
Stéphane
"~Jean-Marc~ [MVP]" <doc.j-m.OTER@ouanadoudou.fr> a écrit dans le message de
news: ez3j2cQsEHA.3468@TK2MSFTNGP15.phx.gbl...
Salutations *~Jean-Marc~ [MVP]* !
Dans
http://groups.google.fr/groups?threadm=u2POxoJsEHA.1232@TK2MSFTNGP11.phx.gbl
tu nous disais :
le D&D peut être sénéré par javascript
Lire "généré", bien sur...
@+
--
~Jean-Marc~ MSAE & MVP Windows XP Fr
M'écrire : http://msmvps.com/docxp/contact.aspx
- http://perso.wanadoo.fr/doc.jm/ - http://msmvps.com/docxp/ -
Aide en DIRECT sur Internet : http://communautes-ms.akro-net.org/
Veuillez accepter toutes mes excuses ; il apparaît effectivement que ce bulletin est, effectivement, critique pour tous les systèmes d'exploitation en incluant le service pack 2 de Windows XP. Des messages commencent à circuler qui exploitent cette faille.
Cdlt Stéphane
"~Jean-Marc~ [MVP]" a écrit dans le message de news:
Celui-la a l'air suspect je te l'accorde ; m'empêche le concept fait froid dans le dos ! N'importe qui sans molette sur la souris peut tompber dans ce panneau.
Olivier
"Stéphane [MS]" a écrit dans le message de news:
AMHA, sur des postes sous Windows XP Service Pack, ce correctif est totalement inutile (ce n'est qu'une opinion personnelle). Le seul correctif apporté concerne le Drap&Drop d'éléments dans la fenêtre d'Internet Explorer. A moins de devenir complètement stupide, je ne ferais jamais une telle opération sur un site dont je ne serais pas absolument sûr.
Je serais nettement moins tranquille pour ce qui est des failles critiques qui permettent de l'exécution de code (32 à 37)...
Cdlt Stéphane
"~Jean-Marc~ [MVP]" a écrit dans le message de news:
En complément, Microsoft met a jour un bulletin déjà publié autour de Microsoft Office XP. Cette mise à jour ne concerne que l'utilisation d'Office XP sur Windows XP Service Pack 2. Les autres systèmes ne changent pas. Nottons, au passage, que cette mise à jour est le seul bulletin qui est relatif à Windows XP Service Pack 2 ; ce qui démontre l'intérêt d'appliquer ce service pack lorsque vous pouvez le faire !
Celui-la a l'air suspect je te l'accorde ; m'empêche le concept fait froid
dans le dos !
N'importe qui sans molette sur la souris peut tompber dans ce panneau.
Olivier
"Stéphane [MS]" <spapp@online.microsoft.com> a écrit dans le message de
news: uRnxgTJsEHA.3396@tk2msftngp13.phx.gbl...
AMHA, sur des postes sous Windows XP Service Pack, ce correctif est
totalement inutile (ce n'est qu'une opinion personnelle). Le seul
correctif apporté concerne le Drap&Drop d'éléments dans la fenêtre
d'Internet Explorer. A moins de devenir complètement stupide, je ne ferais
jamais une telle opération sur un site dont je ne serais pas absolument
sûr.
Je serais nettement moins tranquille pour ce qui est des failles critiques
qui permettent de l'exécution de code (32 à 37)...
Cdlt
Stéphane
"~Jean-Marc~ [MVP]" <doc.j-m.OTER@ouanadoudou.fr> a écrit dans le message
de news: eYkXZHJsEHA.4004@TK2MSFTNGP10.phx.gbl...
Salutations *Stéphane [MS]* !
Dans
http://groups.google.fr/groups?threadm=eLV0EnIsEHA.3428@TK2MSFTNGP11.phx.gbl
tu nous disais :
En complément, Microsoft met a jour un bulletin déjà publié autour de
Microsoft Office XP. Cette mise à jour ne concerne que l'utilisation
d'Office XP sur Windows XP Service Pack 2. Les autres systèmes ne
changent pas. Nottons, au passage, que cette mise à jour est le seul
bulletin qui est relatif à Windows XP Service Pack 2 ; ce qui
démontre l'intérêt d'appliquer ce service pack lorsque vous pouvez le
faire !
Désolé Stéphane, mais il y a une mise à jour qui concerne le SP2 et qui
est
aussi (voire plus) importante :
http://www.microsoft.com/technet/security/Bulletin/ms04-038.mspx
AMHA, si il fallait n'en passer qu'une, ce serait celle là.
@+
--
~Jean-Marc~ MSAE & MVP Windows XP Fr
M'écrire : http://msmvps.com/docxp/contact.aspx
- http://perso.wanadoo.fr/doc.jm/ - http://msmvps.com/docxp/ -
Aide en DIRECT sur Internet : http://communautes-ms.akro-net.org/
Celui-la a l'air suspect je te l'accorde ; m'empêche le concept fait froid dans le dos ! N'importe qui sans molette sur la souris peut tompber dans ce panneau.
Olivier
"Stéphane [MS]" a écrit dans le message de news:
AMHA, sur des postes sous Windows XP Service Pack, ce correctif est totalement inutile (ce n'est qu'une opinion personnelle). Le seul correctif apporté concerne le Drap&Drop d'éléments dans la fenêtre d'Internet Explorer. A moins de devenir complètement stupide, je ne ferais jamais une telle opération sur un site dont je ne serais pas absolument sûr.
Je serais nettement moins tranquille pour ce qui est des failles critiques qui permettent de l'exécution de code (32 à 37)...
Cdlt Stéphane
"~Jean-Marc~ [MVP]" a écrit dans le message de news:
En complément, Microsoft met a jour un bulletin déjà publié autour de Microsoft Office XP. Cette mise à jour ne concerne que l'utilisation d'Office XP sur Windows XP Service Pack 2. Les autres systèmes ne changent pas. Nottons, au passage, que cette mise à jour est le seul bulletin qui est relatif à Windows XP Service Pack 2 ; ce qui démontre l'intérêt d'appliquer ce service pack lorsque vous pouvez le faire !
Bonjour, Veuillez accepter toutes mes excuses ; il apparaît effectivement que ce bulletin est, effectivement, critique pour tous les systèmes d'exploitation en incluant le service pack 2 de Windows XP. Des messages commencent à circuler qui exploitent cette faille.
Y'a pas de mal ;-)
Des failles qui peuvent paraître bénignes se transforment, une fois exploitées d'une autre manière, en malware dangereux. ;-)
Salutations *Stéphane [MS]* !
Dans http://groups.google.fr/groups?threadmãQ0kZpsEHA.2788@TK2MSFTNGP09.phx.gbl
tu nous disais :
Bonjour,
Veuillez accepter toutes mes excuses ; il apparaît effectivement que
ce bulletin est, effectivement, critique pour tous les systèmes
d'exploitation en incluant le service pack 2 de Windows XP. Des
messages commencent à circuler qui exploitent cette faille.
Y'a pas de mal ;-)
Des failles qui peuvent paraître bénignes se transforment, une fois
exploitées d'une autre manière, en malware dangereux. ;-)
Cordialement
--
~Jean-Marc~ MSAE & MVP Windows XP Fr
M'écrire : http://msmvps.com/docxp/contact.aspx
- http://perso.wanadoo.fr/doc.jm/ - http://msmvps.com/docxp/ -
Aide en DIRECT sur Internet : http://communautes-ms.akro-net.org/
Bonjour, Veuillez accepter toutes mes excuses ; il apparaît effectivement que ce bulletin est, effectivement, critique pour tous les systèmes d'exploitation en incluant le service pack 2 de Windows XP. Des messages commencent à circuler qui exploitent cette faille.
Y'a pas de mal ;-)
Des failles qui peuvent paraître bénignes se transforment, une fois exploitées d'une autre manière, en malware dangereux. ;-)
AMHA, sur des postes sous Windows XP Service Pack, ce correctif est totalement inutile (ce n'est qu'une opinion personnelle). Le seul correctif
apporté concerne le Drap&Drop d'éléments dans la fenêtre d'Internet Explorer. A moins de devenir complètement stupide, je ne ferais jamais une telle opération sur un site dont je ne serais pas absolument sûr.
** Drap&Drop, je pense que tu veux parler de Drag&Drop?
Je trouve personnellement ce type de raisonnement dangereux.
1- Parce qu'en cas de TroubleShot léger (par ex: processeur occupé temporairement à 100%) il m'est déjà arrivé sans le vouloir de déplacer des objets d'une fenêtre IE vers le Bureau. ( idem avec explorer.exe, qui n'a jamais retrouvé son fond d'écran dans un dossier?)
2- C'est en faisant ce type de raisonnement que l'on retrouve la majorité des bugs à la frange des Programmes ou même de l'OS. ( "après tout l'utilisateur n'a aucune raison d'utiliser cette fonction") ... donc on omet de la tester en profondeur et on omet d'y mettre des tests de blocage.
Cordialement, Daniel.
----------------------------------------
"Stéphane [MS]" a écrit dans:
http://groups.google.fr/groups?threadm=uRnxgTJsEHA.3396@tk2msftngp13.phx.gbl
AMHA, sur des postes sous Windows XP Service Pack, ce correctif est
totalement inutile (ce n'est qu'une opinion personnelle). Le seul
correctif
apporté concerne le Drap&Drop d'éléments dans la fenêtre d'Internet
Explorer. A moins de devenir complètement stupide, je ne ferais jamais une
telle opération sur un site dont je ne serais pas absolument sûr.
** Drap&Drop, je pense que tu veux parler de Drag&Drop?
Je trouve personnellement ce type de raisonnement dangereux.
1- Parce qu'en cas de TroubleShot léger (par ex: processeur
occupé temporairement à 100%) il m'est déjà arrivé sans le
vouloir de déplacer des objets d'une fenêtre IE vers le Bureau.
( idem avec explorer.exe, qui n'a jamais retrouvé son fond
d'écran dans un dossier?)
2- C'est en faisant ce type de raisonnement que l'on retrouve
la majorité des bugs à la frange des Programmes ou même
de l'OS. ( "après tout l'utilisateur n'a aucune raison d'utiliser
cette fonction") ... donc on omet de la tester en profondeur
et on omet d'y mettre des tests de blocage.
AMHA, sur des postes sous Windows XP Service Pack, ce correctif est totalement inutile (ce n'est qu'une opinion personnelle). Le seul correctif
apporté concerne le Drap&Drop d'éléments dans la fenêtre d'Internet Explorer. A moins de devenir complètement stupide, je ne ferais jamais une telle opération sur un site dont je ne serais pas absolument sûr.
** Drap&Drop, je pense que tu veux parler de Drag&Drop?
Je trouve personnellement ce type de raisonnement dangereux.
1- Parce qu'en cas de TroubleShot léger (par ex: processeur occupé temporairement à 100%) il m'est déjà arrivé sans le vouloir de déplacer des objets d'une fenêtre IE vers le Bureau. ( idem avec explorer.exe, qui n'a jamais retrouvé son fond d'écran dans un dossier?)
2- C'est en faisant ce type de raisonnement que l'on retrouve la majorité des bugs à la frange des Programmes ou même de l'OS. ( "après tout l'utilisateur n'a aucune raison d'utiliser cette fonction") ... donc on omet de la tester en profondeur et on omet d'y mettre des tests de blocage.
Cordialement, Daniel.
----------------------------------------
Stéphane [MS]
Bonjour,
Bien vu pour le Drag&Drop !
Etant méfiant de nature, je ne fréquente pas trop les sites susceptibles de réaliser des actions dangereuses pour mon poste. Si je suis amené à le faire, je prends soin d'utiliser préalablement soit la zone des "sites sensibles", soit de le faire depuis une machine virtuelle parfaitement à jour et éventuellement durcie du point de vue de la sécurité, soit les deux à la fois (ceinture et bretelles).
D'une part, ce raisonement est celui d'un utilisateur relativement averti. Une bonne part des lecteurs de ce groupe le sont également. Je reconnais que ce n'est pas le type de conseil que je donnerais pour les ordinateurs de mes clients ou de ma famille. Quand on ne sait pas quel est le niveau des utilisateurs, il est préférable d'appliquer systématiquement tous les correctifs applicables.
D'autre part, ma remarque initiale était infondée et je l'ai reconnu ultérieurement. Il reste un point ; Windows XP Service Pack 2 apporte une plus grande tranquilité d'esprit en matire de sécurité. Je ne peux que conseiller de l'appliquer aprs avoir fait les tests nécessaires.
AMHA, sur des postes sous Windows XP Service Pack, ce correctif est totalement inutile (ce n'est qu'une opinion personnelle). Le seul correctif
apporté concerne le Drap&Drop d'éléments dans la fenêtre d'Internet Explorer. A moins de devenir complètement stupide, je ne ferais jamais une telle opération sur un site dont je ne serais pas absolument sûr.
** Drap&Drop, je pense que tu veux parler de Drag&Drop?
Je trouve personnellement ce type de raisonnement dangereux.
1- Parce qu'en cas de TroubleShot léger (par ex: processeur occupé temporairement à 100%) il m'est déjà arrivé sans le vouloir de déplacer des objets d'une fenêtre IE vers le Bureau. ( idem avec explorer.exe, qui n'a jamais retrouvé son fond d'écran dans un dossier?)
2- C'est en faisant ce type de raisonnement que l'on retrouve la majorité des bugs à la frange des Programmes ou même de l'OS. ( "après tout l'utilisateur n'a aucune raison d'utiliser cette fonction") ... donc on omet de la tester en profondeur et on omet d'y mettre des tests de blocage.
Cordialement, Daniel.
----------------------------------------
Bonjour,
Bien vu pour le Drag&Drop !
Etant méfiant de nature, je ne fréquente pas trop les sites susceptibles de
réaliser des actions dangereuses pour mon poste. Si je suis amené à le
faire, je prends soin d'utiliser préalablement soit la zone des "sites
sensibles", soit de le faire depuis une machine virtuelle parfaitement à
jour et éventuellement durcie du point de vue de la sécurité, soit les deux
à la fois (ceinture et bretelles).
D'une part, ce raisonement est celui d'un utilisateur relativement averti.
Une bonne part des lecteurs de ce groupe le sont également. Je reconnais que
ce n'est pas le type de conseil que je donnerais pour les ordinateurs de mes
clients ou de ma famille. Quand on ne sait pas quel est le niveau des
utilisateurs, il est préférable d'appliquer systématiquement tous les
correctifs applicables.
D'autre part, ma remarque initiale était infondée et je l'ai reconnu
ultérieurement. Il reste un point ; Windows XP Service Pack 2 apporte une
plus grande tranquilité d'esprit en matire de sécurité. Je ne peux que
conseiller de l'appliquer aprs avoir fait les tests nécessaires.
Cdlt
Stéphane
"Daniel92" <QuelleGalere@ole6news.fr> a écrit dans le message de news:
%23$zhgs4sEHA.376@TK2MSFTNGP09.phx.gbl...
"Stéphane [MS]" a écrit dans:
http://groups.google.fr/groups?threadm=uRnxgTJsEHA.3396@tk2msftngp13.phx.gbl
AMHA, sur des postes sous Windows XP Service Pack, ce correctif est
totalement inutile (ce n'est qu'une opinion personnelle). Le seul
correctif
apporté concerne le Drap&Drop d'éléments dans la fenêtre d'Internet
Explorer. A moins de devenir complètement stupide, je ne ferais jamais
une
telle opération sur un site dont je ne serais pas absolument sûr.
** Drap&Drop, je pense que tu veux parler de Drag&Drop?
Je trouve personnellement ce type de raisonnement dangereux.
1- Parce qu'en cas de TroubleShot léger (par ex: processeur
occupé temporairement à 100%) il m'est déjà arrivé sans le
vouloir de déplacer des objets d'une fenêtre IE vers le Bureau.
( idem avec explorer.exe, qui n'a jamais retrouvé son fond
d'écran dans un dossier?)
2- C'est en faisant ce type de raisonnement que l'on retrouve
la majorité des bugs à la frange des Programmes ou même
de l'OS. ( "après tout l'utilisateur n'a aucune raison d'utiliser
cette fonction") ... donc on omet de la tester en profondeur
et on omet d'y mettre des tests de blocage.
Etant méfiant de nature, je ne fréquente pas trop les sites susceptibles de réaliser des actions dangereuses pour mon poste. Si je suis amené à le faire, je prends soin d'utiliser préalablement soit la zone des "sites sensibles", soit de le faire depuis une machine virtuelle parfaitement à jour et éventuellement durcie du point de vue de la sécurité, soit les deux à la fois (ceinture et bretelles).
D'une part, ce raisonement est celui d'un utilisateur relativement averti. Une bonne part des lecteurs de ce groupe le sont également. Je reconnais que ce n'est pas le type de conseil que je donnerais pour les ordinateurs de mes clients ou de ma famille. Quand on ne sait pas quel est le niveau des utilisateurs, il est préférable d'appliquer systématiquement tous les correctifs applicables.
D'autre part, ma remarque initiale était infondée et je l'ai reconnu ultérieurement. Il reste un point ; Windows XP Service Pack 2 apporte une plus grande tranquilité d'esprit en matire de sécurité. Je ne peux que conseiller de l'appliquer aprs avoir fait les tests nécessaires.
AMHA, sur des postes sous Windows XP Service Pack, ce correctif est totalement inutile (ce n'est qu'une opinion personnelle). Le seul correctif
apporté concerne le Drap&Drop d'éléments dans la fenêtre d'Internet Explorer. A moins de devenir complètement stupide, je ne ferais jamais une telle opération sur un site dont je ne serais pas absolument sûr.
** Drap&Drop, je pense que tu veux parler de Drag&Drop?
Je trouve personnellement ce type de raisonnement dangereux.
1- Parce qu'en cas de TroubleShot léger (par ex: processeur occupé temporairement à 100%) il m'est déjà arrivé sans le vouloir de déplacer des objets d'une fenêtre IE vers le Bureau. ( idem avec explorer.exe, qui n'a jamais retrouvé son fond d'écran dans un dossier?)
2- C'est en faisant ce type de raisonnement que l'on retrouve la majorité des bugs à la frange des Programmes ou même de l'OS. ( "après tout l'utilisateur n'a aucune raison d'utiliser cette fonction") ... donc on omet de la tester en profondeur et on omet d'y mettre des tests de blocage.