Sécurité - Les vulnérabilités sont néanmoins critiques. Elles permettent notamment de détourner des mails circulant sur un réseau mal protégé.

Après le gargantuesque Patch Day d’avril (25 failles corrigées), le bulletin de sécurité de mai chez Microsoft est plutôt léger avec seulement deux vulnérabilités à se mettre sous la dent.

Deux applications Windows sont concernées : Outlook Express (ainsi que Windows Mail et Live Mail) et Office.

Concernant Outlook, la rustine corrige une vulnérabilité signalée confidentiellement qui pourrait permettre l’exécution de code à distance si un utilisateur visitait un serveur de messagerie malveillant. Tout attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l’utilisateur et ainsi détourner des messages transmis à travers un réseau vérolé.

Visual Basic

Logiciels impactés : Microsoft Outlook Express 5.5 et 6, Microsoft Windows Mail et Microsoft Windows Live Mail.

Du côté d’Office, le patch corrige une vulnérabilité signalée confidentiellement dans Microsoft Visual Basic pour Applications. Cette vulnérabilité pourrait permettre l’exécution de code à distance si une application hôte ouvrait et transmettait un fichier spécialement conçu au module d’exécution de Visual Basic pour Applications.

Si un utilisateur a ouvert une session avec des privilèges d’administrateur, un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral d’un système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges.

Logiciels impactés : Microsoft Office XP, 2003 et 2007 et Microsoft Visual Basic pour Applications.

par Olivier Chicheportiche, ZDNet France. Publié le 12 mai 2010

Source : ZDNet