Hier, deuxième mardi du mois, Microsoft a publié son habituel bulletin de sécurité. Ce mois-ci, il faut compter sur cinq mises à jour jugées critiques et deux autres jugées importantes.

Mises à jour critiques

Commençons par les mises à jour critiques qui comblent des failles permettant toutes l'exécution d'un code arbitraire :

• MS06-035 : corrige deux vulnérabilités dans le service Serveur (de Windows 2000 SP4 à WindowsNom que portent les systèmes d'exploitation avec interface graphique de Microsoft. Windows est apparu dans les années 80. Il s'agissait alors d'une... Server 2003 SP1)
  
• MS06-036 : corrige une vulnérabilité dans le service Client DHCP (de Windows 2000Premier système d'exploitation "moderne" conçu par Microsoft dans les années 90 et prédécesseur de Windows XP et Vista. Windows NT (New Technology)... SP4 à Windows Server 2003 SP1)
• MS06-037 : corrige des failles dans Excel (Excel 2000 à 2003 pour Windows et Excel 2004 et X pour Mac)
  
• MS06-038 : corrige des failles dans Office (Office 2000 SP3 à Office 2003 SP2 pour Windows et Office 2004 et X pour Mac), Project (2000 et 2002), Visio 2002, Works (2004 à 2006) et Visual Studio
  
• MS06-039 : corrige deux failles dans Office (Office 2000 SP3 à Office 2003 SP2), Project (2000 et 2002) et Works (2004 à 2006)

Mises à jour importantes

La première mise à jour (MS06-033) comble une faille dans ASP.NET qui permettait l'accès non autorisé des données. Notez que cette faille ne permettait pas à l'attaquant d'élever ses droits ou d'exécuter un code arbitraire, c'est pourquoi cette faille a été jugée importante. La seconde vulnérabilité (MS06-034) se situe dans le service IIS en utilisant ASP. Afin d'exécuter un code arbitraire, l'attaquant doit auparavant posséder les droits adéquats.

• Consulter le bulletin de sécurité de juillet 2006