Mis a jour le 30.11.2006

Maxthon anciennement MyIE2 est un puissant navigateur web avec une interface entièrement personnalisable.

Il utilise le moteur d'Internet Explorer ce qui signifie que ce qui fonctionne avec IE, fonctionne de la même manière avec Maxthon mais avec de nombreuses autres fonctionnalités comme par exemple la navigation par onglets.

Les nouveautés:

- Correction de la vulnérabilité de débordement de tampon d'IE dans les IFRAME.
- Les utilisateurs de Maxthon sont désormais plus en sécurité que les autres utilisateurs d'IE.
- Correction du problème de sauvegarde unique des onglets avec le même titre.

Système : Windows 98/Me/2000/XP

Microsoft a publié des correctifs visant à colmater 26 failles sécuritaires dans ses produits lors de son Patch Tuesday pour le mois d'août 2008.
L'ensemble de correctifs est l'un des plus importants publiés par microsoft depuis la dernière année.

Les failles sécuritaires colmatées par microsoft concernent notamment son système d'exploitation Windows et sa suite logicielle Office, mais également son navigateur Internet Explorer et son logiciel de messagerie instantanée Windows Messenger.

Lire la suite...


Microsoft a regroupé en onze bulletins l'ensemble des failles colmatées, dont six sont qualifiés de "critiques".

Les failles critiques permettent à un pirate d'installer des logiciels malveillants sur les ordinateurs mal protégés et d'en prendre ensuite le contrôle à distance.

Selon l'entreprise, au moins deux des failles répertoriées par son équipe sont déjà utilisées par les pirates informatiques.
Elles doivent donc être colmatées rapidement, soutient-elle.

La première faille se trouve dans la commande d'"ActiveX Snapshot Viewer", alors que l'autre vulnérabilité se trouve dans le traitement de texte Word.

Mentionnons que sept des onze bulletins de microsoft sont des mises à jour de correctifs déjà publiés par l'entreprise.

Les utilisateurs qui ont activé la fonction de mise à jour automatique de Windows n'ont rien à faire pour la télécharger.

Ceux qui l'ont désactivé doivent cependant accéder au site Windows Update de l'entreprise pour le faire.

- MS08-041/KB955617: Vulnérabilité critique dans le Snapshot Viewer d'Office 2000/2003/XP.
- MS08-042 / KB955048: Vulnérabilité importante dans les logiciels Word 2003/XP.
- MS08-043 / KB954066: Vulnérabilité critique dans les logiciels Excel 2000/2003/2007/XP.
- MS08-044 / KB924090: Vulnérabilité critique dans les filtres d'Office 2000/2003/XP.
- MS08-045 / KB953838: Vulnérabilité critique dans les navigateurs Internet Explorer 5.01/6.0/7.0.
- MS08-046 / KB952954: Vulnérabilité critique dans le module de gestion des couleurs Microsoft Color Management System (MSCMS) de Windows 2000/2003/XP.
- MS08-047 / KB953733: Vulnérabilité importante dans la gestion du protocole IPSec par Windows 20008/Vista.
- MS08-048 / KB951066: Vulnérabilité importante dans les logiciels Outlook Express et Windows Mail.
- MS08-049 / KB950974: Vulnérabilité importante dans la gestion des événements systèmes de Windows 2000/2003/2008/XP/Vista.
- MS08-050 / KB955702: Vulnérabilité importante dans les logiciels Windows Messenger de Windows 2003/XP.
- MS08-051 / KB949785: Vulnérabilité critique dans les logiciels PowerPoint 2000/2003/2007/XP.

Accéder à la Synthèse des Bulletins de sécurité microsoft d'août 2008

secunews.org conseille à tous les utilisateurs de s’assurer qu’ils disposent sur leur ordinateur d’un antivirus configuré pour se mettre à jour automatiquement et fréquemment, des derniers correctifs de sécurité diffusés,d’un logiciel pare-feu,éviter le plus possible les sites Web inconnus ou peu recommandables et de vous mefiez des mails recus de prevonnance inconnue afin d’empêcher que vos PC ne deviennent un élément d’un réseau de zombie (botnet)

Alors qu'il planche sur Windows 7, successeur de Vista, microsoft travaillerait sur un système d'exploitation à l'approche radicalement différente, dans le cadre du "projet Midori".

Sous la forme d'une application web, il ne s'installerait pas sur les ordinateurs.
Microsoft prépare-t-il son système d'exploitation du futur, radicalement différent du Windows tel que nous l'avons toujours connu ?

Lire la suite...

Différentes sources évoquent un tel projet, dont le nom de code est "Midori", notamment le site Software Development Times qui aurait eu accès à des documents confidentiels de microsoft.

Mary Jo Foley de ZDNet.com en parle également sur son blog.

D'après leurs informations, "Midori" serait totalement basé sur le web, et en totale synergie avec les services de cloud computing, grande tendance actuelle.
Cet OS fonctionnerait ainsi sur le principe des applications web qui ne s'installent pas sur le système, étant stockées sur les serveurs de leur fournisseur.
Il exécuterait une couche de virtualisation située entre le matériel et lui.


Un OS utilisable sur tous types de supports

Cette caractéristique signifie qu'il ne serait plus nécessaire d'avoir un matériel informatique doté de ressources suffisantes.
L'OS pourrait de fait être utilisé sur différents appareils, y compris mobiles.

Selon le SDTimes, Midori aurait pour seules exigences des architectures x86, x64 et ARM.

Il offrirait par ailleurs une interopérabilité avec les applications Windows existantes.
Cet OS du futur serait issu d'un projet microsoft de 2003 baptisé "Singularity".

Ce dernier avait consisté à réfléchir à une nouvelle architecture de système d'exploitation, radicalement différente de celle de Windows.

Mais à la différence de Singularity, sur lequel travaillait une petite équipe, Midori ferait l'objet d'une plus grande mobilisation.
Notamment pour étudier la viabilité commerciale du concept.

Le besoin d'innovations radicales ?

Jusqu'à présent, microsoft a proposé des mises à jour de son Windows, sans apporter d'innovations révolutionnaires, avec un nouvel angle de vue.
L'OS, tout comme Office, n'a pas été totalement réécrit et repensé, mais amélioré et modifié.

Le chantier Midori, de très grande envergure, aboutira "s'il est mené à bien" dans plusieurs années, si l'on se base sur l'historique de microsoft.

L'éditeur a eu du mal à opérer des modifications radicales, ne serait-ce qu'au niveau des sous-systèmes de Windows tels que le système de fichiers.

NetDocs est un autre exemple

Lancé au début des années 2000, il visait à remplacer Office par une suite bureautique en ligne.
Huit ans plus tard, cette offre n'a toujours vu le jour.
Enfin, microsoft a déjà un gros chantier en cours, le successeur de Vista, Windows 7, attendu à l'horizon 2010.


Revoir l'architecture de son OS de pied en cap serait dans la logique des choses, pour microsoft.

Apple a déjà montré sa capacité au changement, quitte à sacrifier sur la compatibilité, en passant des processeurs 68000 aux PowerPC, d'OS 9 à OS X et des puces PowerPC aux puces Intel.

Microsoft a quant à lui préférer favoriser la compatibilité au détriment d'approches nouvelles.

Alors que Windows Vista peine à séduire massivement, la question de l'innovation se pose.
Windows semble, pour nombre d'utilisateurs, de plus en plus lourd à installer et utiliser.

L'éditeur a pourtant renoncé à certaines nouveautés prévues pour Vista, au motif que les modifications en terme d'architecture seraient trop pesantes.

Reste à voir, donc, si microsoft reverra totalement son système avec Midori.

Il se refuse pour l'heure à tout commentaire, affirmant seulement qu'il s'agit d'un projet en incubation parmi tant d'autres.

Plusieurs nouveaux défauts de sécurité ont été identifiés dans le navigateur Firefox, la messagerie Thunderbird et l'application SeaMonkey.

L'exploitation des failles les plus sévères peut permettre à un individu malveillant ou à un virus d'exécuter du code malicieux sur l'ordinateur de sa victime via une page web ou un mail piégé.

Lire la suite...


Logiciels Concernés:

- Firefox 3.0
- Firefox 2.0.0.15 et versions inférieures
- Thunderbird 2.0.0.15 et versions inférieures
- SeaMonkey 1.1.10 et versions inférieures

Correctif:

Les utilisateurs concernés doivent installer immédiatement la nouvelle version du logiciel via le site de l'éditeur ou le correctif correspondant via la fonction de mise à jour (cliquer sur "?" dans la barre de menu puis "Rechercher des mises à jour..."), afin de prévenir toute exploitation malveillante de ces défauts de sécurité :

- Télécharger Firefox 3.0.1
- Télécharger Firefox 2.0.0.16
- Télécharger SeaMonkey 1.1.11
- Télécharger Thunderbird 2.0.0.16 (bientôt disponible)

En attendant la disponibilité de la nouvelle version de Thunderbird, il est recommandé de désactiver la prise en charge du langage javascript (option par défaut), afin de limiter les risques d'exploitation malveillante.

secunews.org conseille à tous les utilisateurs de s’assurer qu’ils disposent sur leur ordinateur d’un antivirus configuré pour se mettre à jour automatiquement et fréquemment, des derniers correctifs de sécurité diffusés,d’un logiciel pare-feu,éviter le plus possible les sites Web inconnus ou peu recommandables et de vous mefiez des mails recus de prevonnance inconnue afin d’empêcher que vos PC ne deviennent un élément d’un réseau de zombie (botnet)

source:secuser.com)

Les géants informatiques mondiaux, dont microsoft, Sun Microsystems et Cisco, se sont mobilisés ces derniers mois pour corriger une grave faille de sécurité qui menaçait l'internet mondial, et diffusent cette semaine à grande échelle un "patch".

Le spécialiste en sécurité Dan Kaminsky, de IOActive, a découvert il y a six mois cette faille qui portait sur le Domain Name System (DNS), le système qui met en relation les noms des sites et les pages de données stockées sur des serveurs, via des numéros similaires à des numéros de téléphone (adresse Ip).

Lire la suite...


Il a alors réuni les grands groupes internet, qui ont planché discrètement pendant des mois pour mettre au point une solution.

Le patch est diffusé depuis lundi aux entreprises et aux internautes, généralement via les mises à jour automatiques des systèmes.

Cette faille aurait pu permettre à des pirates de rediriger n'importe quelle adresse vers les pages de leur choix, et d'ainsi contrôler le trafic internet mondial.
Le risque est notamment celui du "phishing", où des escrocs dirigent les internautes à leur insu vers de faux sites de banques par exemple, pour récupérer leurs numéros de cartes bancaires ou autres données sensibles.

"Aucune opération de sécurité n'a jamais été réalisée à cette échelle", a commenté M. Kaminsky, qui a mis en place une page web pour permettre aux internautes de tester leur vulnérabilité à cette faille.

Tester votre vulnérabilité à cette faille

Voir aussi:

Un siècle de sécurité informatique, radio, télécommuniucation.


secunews.org conseille à tous les utilisateurs de s’assurer qu’ils disposent sur leur ordinateur d’un antivirus configuré pour se mettre à jour automatiquement et fréquemment, des derniers correctifs de sécurité diffusés,d’un logiciel pare-feu,éviter le plus possible les sites Web inconnus ou peu recommandables et de vous mefiez des mails recus de prevonnance inconnue afin d’empêcher que vos PC ne deviennent un élément d’un réseau de zombie (botnet)

Les mises à jour de sécurité s'accompagneront d'une nouvelle version des outils de mises à jour de la plate-forme.
Quatre bulletins constitueront l'essentiel de la notification de sécurité du mois de juillet 2008 pour les produits microsoft.

Malgré leur classement dans un niveau "Important" seulement, la mise à jour pourrait nécessiter un redémarrage du système.
Aux DSI (Direction des systèmes informatiques) de s'organiser en conséquence.

Lire la suite...



Les vulnérabilités éventuelles à combler seront détectables par le MSBA (Microsoft Baseline Security Analyzer) l'outil d'analyse de l'éditeur.

- Windows 2000
- Windows XP
- Windows Vista
- Server 2003 et 2008
- Exchange Server (2003 SP2 et 2007/SP1)
- SQL Server
Sont concernés par le prochain bulletin de sécurité.

Comme tous les mois, l'outil anti-malware microsoft Windows Malicious Software Removal Tool sera également mis à niveau.

Le prochain patch tuesday, attendu le mardi 8 juillet 2008, sera également l'occasion d'une révision des outils de mise à jour du système Windows Update et Windows Server Update Services (WSUS).

Bien que non liée à la sécurité, cette mise à jour est considérée comme "hautement prioritaire" par microsoft.

A la fin du mois, microsoft fera par ailleurs évoluer l'infrastructure de mise à jour côté client.

Une adaptation qui permettra désormais de vérifier automatiquement (selon le paramétrage choisi) que les outils de mise à jour sont eux-mêmes réactualisés.

Par ailleurs, microsoft promet que le temps de vérification des besoins de mise à jour du système s'en trouvera amélioré.
Dans les usages et au niveau de l'interface de sécurité de Windows XP comme Vista, la modification devrait se révéler relativement transparente pour l'utilisateur.

Selon Juniper Networks, la télévision sur IP comporte des risques de sécurité.
Des failles seraient facilement utilisables par les pirates.

"La Tv par Internet est exposée aux mêmes risques dont sont victimes les ordinateurs".
Un constat qui fait froid dans le dos lorsque l’on connaît la panoplie de malwares qui existent et les multiples techniques de piratage.

Lire la suite...

Même si aucune exploitation de ces failles n'a été découverte, on peut alors imaginer des attaques de plusieurs types comme celles par déni de service (DoS), capables de couper le service en envoyant un code malveillant dans l’équipement.

On peut aussi évoquer les spywares, sortes d’espions pouvant être installés dans les serveurs ou les équipements dédiés des abonnés.
Ces spywares peuvent alors surveiller l’activité de l’abonné à des fins malveillantes…


Pour David Noguer Bau, Directeur Marketing en charge des Opérateurs et des Services Multiplay chez Juniper Networks EMEA la solution est simple :

"L’architecture des réseaux et systèmes d’IPTV modernes doit être conçue dès le départ en gardant à l’esprit ces vulnérabilités.
Avec la croissance des services de télévision par Internet, les abonnés peuvent bénéficier d’une gamme de nouveaux services innovants.
Mais des failles de sécurité peuvent mettre en danger ces nouvelles opportunités".

Dès lors, des solutions de repli existent comme l’utilisation des canaux terrestres qui pourraient être considérés en cas de secours.

Bref cette ouverture pour les pirates est techniquement possible.
Si l’on ajoute à cela les services basés sur le réseau tels que le magnétoscope numérique ou le guide de programmes électronique, la TV sur IP pourrait bien devenir le nouvel eldorado des hackers, ou de personnes souhaitant passer à la télé....

(source:silicon.com)

Une vulnérabilité a été identifiée dans Mozilla Firefox, elle pourrait être exploitée par des attaquants afin de compromettre un système vulnérable.

Lire la suite...



Ce problème résulte d'une erreur inconnue pouvant permettre à un site web malveillant d'exécuter un code arbitraire distant.
Aucun détail technique n'a été révélé.

Logiciels Concernés:

- Mozilla Firefox version 3.0
- Mozilla Firefox versions 2.0.x


Solution:

- Aucun correctif officiel n'est disponible pour l'instant.

secunews.org conseille à tous les utilisateurs de s’assurer qu’ils disposent sur leur ordinateur d’un antivirus configuré pour se mettre à jour automatiquement et fréquemment, des derniers correctifs de sécurité diffusés,d’un logiciel pare-feu,éviter le plus possible les sites Web inconnus ou peu recommandables et de vous mefiez des mails recus de prevonnance inconnue afin d’empêcher que vos PC ne deviennent un élément d’un réseau de zombie (botnet)

Un nouveau défaut de sécurité a été identifié dans le lecteur Flash de l'éditeur Adobe, un plug-in intégré à la plupart des navigateurs web qui permet de visualiser les animations flash.

L'exploitation d'une erreur non spécifiée peut permettre à un pirate ou à un virus d'exécuter à distance du code malicieux sur l'ordinateur de sa victime à l'ouverture d'une animation Flash (.SWF) ou d'une page web piégée.

Lire la suite...

Versions Vulnérables:

- Adobe Flash Player 9.0.124.0 et versions inférieures

Correctif:

Aucun correctif n'est disponible pour le moment, ce défaut de sécurité ayant été découvert alors qu'il était déjà exploité de façon malveillante (0-day), notamment par l'intermédiaire de sites Internet légitimes dont la sécurité a été compromise pour tenter d'en infecter les visiteurs.


Les utilisateurs concernés peuvent appliquer les mesures suivantes afin de réduire les risques d'exploitation malveillante:

- Désactiver la prise en charge du langage javascript dans le navigateur via sa barre d'outils ou certaines extensions telles que NoScript pour Firefox (cette solution ne fait pas disparaître la vulnérabilité mais limite fortement les possibilités d'exploitation de la faille et/ou d'autres failles combinées)
   
- Désinstaller le plug-in Flash Player (Menu Démarrer -> Panneau de Configuration -> Ajout/suppression de programmes) en attendant la disponibilité d'un correctif (cette solution risque toutefois de perturber de manière importante l'apparence et/ou le fonctionnement de certains sites Internet).

secunews.org conseille à tous les utilisateurs de s’assurer qu’ils disposent sur leur ordinateur d’un antivirus configuré pour se mettre à jour automatiquement et fréquemment, des derniers correctifs de sécurité diffusés,d’un logiciel pare-feu,éviter le plus possible les sites Web inconnus ou peu recommandables et de vous mefiez des mails recus de prevonnance inconnue afin d’empêcher que vos PC ne deviennent un élément d’un réseau de zombie (botnet)

(source:secuser.com)

MessengerFX est un client populaire pour Windows Live Messenger (anciennement MSN Messenger) écrit en AJAX.
Sa spécificité et de permettre de se connecter au réseau via un simple navigateur web.

En voulant coller du code HTML lapin-blanc.net c'est rendu compte qu’il était interpréter par le navigateur.
Faille de type XSS ?
Effectivement!

Lire la suite...


Sauf que celle-ci n’est pas bénigne, en plus de pouvoir faire planter le navigateur de n’importe quel utilisateur du service, elle permet d’accéder à toutes les fonctionnalités implémantées par MessengerFX ce qui signifie entre autre:

- Récupérer la liste de contact de l’utilisateur
- Envoyer des messages en son nom
- Supprimer, bloquer et débloquer des personnes de sa liste de contact et lui en ajouter
- Lire les messages
Soit de prendre le contrôle complet du compte MSN de la victime.

Pire, il est tout à fait possible d’écrire un vers en utilisant les fonctions d’envoi de message.
Ce vers pourrait par exemple supprimer tous les contacts de toutes les personnes connectées à MessengerFX…, voir faire tomber le réseau MSN dans son ensemble par une attaque de type DDOS.

Lapin-Blanc a envoyer un mail au propriétaire du service qui reste à ce jour sans réponse.
En attendant une correction, abstenez-vous d’utiliser MessengerFX et préférez-y Meebo ou le client officiel de microsoft version web!

(source:lapin-blanc.net)

secunews.org conseille à tous les utilisateurs de s’assurer qu’ils disposent sur leur ordinateur d’un antivirus configuré pour se mettre à jour automatiquement et fréquemment, des derniers correctifs de sécurité diffusés,d’un logiciel pare-feu,éviter le plus possible les sites Web inconnus ou peu recommandables et de vous mefiez des mails recus de prevonnance inconnue afin d’empêcher que vos PC ne deviennent un élément d’un réseau de zombie (botnet)

Plusieurs vulnérabilités critique ont été identifiées dans Apple Safari, elles pourraient être exploitées par des pirates afin d'obtenir des informations sensibles, causer un déni de service ou compromettre un système vulnérable.

Lire la suite...

La premièra Vulnérabilité:
Résulte d'une erreur présente au niveau de WebKit qui ne valide pas correctement certaines URLs, ce qui pourrait être exploité afin de conduire des attaques par cross site scripting.


La seconde vulnérabilité:
Résulte d'un débordement de mémoire (buffer overflow) présent au niveau de WebKit qui ne gère pas correctement certaines expressions réguliers JavaScript malformées, ce qui pourrait être exploité afin d'altérer le fonctionnement d'un navigateur vulnérable ou afin d'exécuter un code arbitraire en incitant un utilisateur à visiter une page web spécialement conçue.

Logiciel concerné:

- Apple Safari versions antérieures à 3.1.1

Correctif:

- Installer Safari version 3.1.1

secunews.org conseille à tous les utilisateurs de s’assurer qu’ils disposent sur leur ordinateur d’un antivirus configuré pour se mettre à jour automatiquement et fréquemment, des derniers correctifs de sécurité diffusés,d’un logiciel pare-feu,éviter le plus possible les sites Web inconnus ou peu recommandables et de vous mefiez des mails recus de prevonnance inconnue afin d’empêcher que vos PC ne deviennent un élément d’un réseau de zombie (botnet)

Cinq vulnérabilités critiques et trois importantes pour le bulletin de sécurité d'avril de microsoft.
Huit nouveaux bulletins viennent animer la mise à jour de sécurité mensuelle de microsoft pour ce mois d'avril 2008.

Le "patch tuesday" du mois comprend notamment cinq bulletins qualifiés de "critiques", le niveau de dangerosité le plus élevé sur l'échelle de risques de l'éditeur.

Lire la suite...

Logiciels Concernés:

- Windows 2000 SP4
- XP SP2
- Server 2003 SP1 et 2008
- Vista SP1 (y compris les éditions 64 bits)
- Internet Explorer (de la 5.01 à la 7)
- Office (Project et Vision)
Sont concernés par les mises à jour.


Dans la plupart des cas, l'exploitation des vulnérabilités peut amener l'attaquant à pouvoir lancer du code à distance sur la machine affectée.

Un ActiveX Kill bit

Les plates-formes Windows sont concernés à travers de nombreux composant:

- Client DNS
- GDI
- Moteurs de script VBScript et JScript
- ActiveX
- Noyau Windows.

Le bulletin MS08-023 introduit notamment une correction de l'ActiveX Kill bit pour le service Yahoo Music Jukebox qui, à partir d'une page web ou d'une image piégée, permet à l'attaquant de s'emparer du contrôle du PC.

Enfin, les applications Project et Visio sont également concernées à des niveaux critiques (Project 2000 SP1) et importants (Project 2002 SP1 et 2003 SP2, Visio 2002 à 2007).
L'ouverture d'un fichier Project, Visio et .DXF peut permettre à un attaquant de bénéficier des droits de l'utilisateur local et opérer comme bon lui semble sur la machine.

Les mises à jour, comme toujours chaudement recommandées, sont disponibles à partir des services automatiques Windows et Office Update ou bien manuellement à partir de la page de résumé du bulletin mensuel.

Bulletin Critique:

Bulletin de sécurité microsoft MS08-018
Bulletin de sécurité microsoft MS08-021
Bulletin de sécurité microsoft MS08-022
Bulletin de sécurité microsoft MS08-023
Bulletin de sécurité microsoft MS08-024

Bulletin Important:

Bulletin de sécurité Microsoft MS08-020
Bulletin de sécurité Microsoft MS08-025
Bulletin de sécurité Microsoft MS08-019

Les correctifs de failles critiques sur les produits microsoft seront accompagnés de quelques mises à jour d'applications hors contexte de sécurité.

Microsoft livrera son habituel bulletin mensuel de sécurité mardi 8 avril 2008 dans la soirée (heure européenne).
Hasard des nombres, ce sont huit correctifs qui fleuriront, cinq considérés comme "critiques" et trois jugés "importants".

Lire la suite...

- Windows
- Internet Explorer
- Office
Sont principalement exposés aux failles critiques dont l'exploitation peut mener à l'exécution distante de code malveillant, selon le pre-patch Thuesday de microsoft (anglais).

L'ensemble des plates-formes Windows encore supportées est concerné par les vulnérabilités critiques

- 2000
- XP
- Server 2003
- Vista
- Tout comme le navigateur maison depuis la version 5.01 SP4 à la 7.


Office touché via Project et Visio:

- L'application microsoft Project (2000, 2002 et 2003) est la seule composante de la suite Office à nécessiter un correctif critique.

- Visio (2002, 2003, 2007) est également victime de brèches de sécurité mais dans une moindre mesure puisque microsoft les classe dans la catégorie inférieure en terme de dangerosité.

Microsoft n'a donc pas jugé urgent de corriger la faille Word récemment découverte et pourtant déjà exploitée par des attaques comme l'a reconnu l'éditeur.

Des mises à jour, indépendantes de tout correctif critique, accompagneront le bulletin de sécurité du printemps.

Elles porteront notamment sur les services:

- Windows Update
- Genuine Advantage
- Office
- Outlook 2007
- Live Writer.

Même si la pré-annonce du vendredi doit aider les administrateurs à s'organiser leurs mises à jour, microsoft rappelle que d'ici mardi des modifications peuvent encore intervenir.

Deux failles sérieuses ont été découvertes dans la version 3.1 du navigateur Safari pour Windows.

Près d'une semaine après la controverse entourant l'installation de Safari par le programme de mise à jour d'Apple, un informaticien argentin, Juan Pablo Lopez Yacubian, a découvert deux failles sérieuses, confirmées par la société danoise Secunia, dans la version pour Windows du navigateur d'Apple.

Lire la suite...


La première faille est due à une erreur de corruption de mémoire lors du téléchargement d'un fichier .zip au nom excessivement long qui permettrait l'exécution de code arbitraire.

La deuxièmes failles permettrait à un site malveillant d'usurper l'identité d'un site de confiance (spoofing).

D'ici la distribution de correctifs d'Apple, Secunia recommande aux utilisateurs de la version Safari pour Windows de ne pas naviguer sur des sites non sûrs, indiquant également que d'autres versions du navigateur sont également susceptibles d'être vulnérables.

Vendredi dernier, le chef de direction de Mozilla (Firefox) John Lilly réagissait à la dernière mise à jour d'Apple avec laquelle était offerte "l'option" d'installation de Safari, soulignant que plusieurs usagers de produits Apple ont installé Safari sans même le désirer, "ce qui est mal, et qui est à la limite de la distribution malveillante", avait souligné Lilly.

secunews.org conseille à tous les utilisateurs de s’assurer qu’ils disposent sur leur ordinateur d’un antivirus configuré pour se mettre à jour automatiquement et fréquemment, des derniers correctifs de sécurité diffusés,d’un logiciel pare-feu,éviter le plus possible les sites Web inconnus ou peu recommandables et de vous mefiez des mails recus de prevonnance inconnue afin d’empêcher que vos PC ne deviennent un élément d’un réseau de zombie (botnet)

Un nouvelle faille de sécurité a été identifié dans le traitement de texte Word.

L'exploitation d'une erreur de programmation dans le composant "microsoft Jet Database Engine" (msjet40.dll) peut permettre à un pirate ou à un virus d'exécuter à distance du code malicieux sur l'ordinateur de sa victime à l'ouverture d'un document piégé.

Lire la suite...

Les ordinateurs sous Windows Vista et Windows 2003 SP 2 ne sont pas vulnérables, car ils intègrent une nouvelle version du composant microsoft Jet Database Engine.

Logiciels Concernés:

- Microsoft Word 2007
- Microsoft Word 2003
- Microsoft Word 2002
- Microsoft Word 2000
- Microsoft Office 2007
- Microsoft Office 2003
- Microsoft Office XP
- Microsoft Office 2000



Solution:

Aucun correctif n'est disponible pour le moment car ce défaut de sécurité a été découvert alors qu'il était déjà exploité de façon malveillante (0-day).

Pour vérifier si votre ordinateur est vulnérable:

1. Lancez une recherche sur le fichier "msjet40.dll" (sans les guillemets).
2. Faites un clic droit sur le fichier trouvé présent dans le répertoire Windows/system32 (si aucun fichier n'est trouvé alors l'ordinateur n'est pas vulnérable, vérifier éventuellement que le nom recherché est correct).
3. Sélectionnez "Propriétés", puis cliquez sur l'onglet "Version",
4. Si le numéro de version indiqué est inférieur à 4.0.9505.0 (par exemple 4.0.8618.0), l'ordinateur est vulnérable.
Il sera nécessaire d'installer le correctif dès qu'il sera disponible, afin de corriger ce défaut de sécurité.

secunews.org conseille à tous les utilisateurs de s’assurer qu’ils disposent sur leur ordinateur d’un antivirus configuré pour se mettre à jour automatiquement et fréquemment, des derniers correctifs de sécurité diffusés,d’un logiciel pare-feu,éviter le plus possible les sites Web inconnus ou peu recommandables et de vous mefiez des mails recus de prevonnance inconnue afin d’empêcher que vos PC ne deviennent un élément d’un réseau de zombie (botnet)