Bulletins de sécurité 2009

Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement qui pourrait permettre l'exécution de code à distance si un utilisateur ouvrait un fichier Word spécialement conçu. Tout attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral du système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.
Taux de sévérité : Important

Cette mise à jour de sécurité corrige plusieurs vulnérabilités signalées confidentiellement dans Microsoft Office Excel. Ces vulnérabilités pourraient permettre l'exécution de code à distance lorsqu'un utilisateur ouvre un fichier Excel spécialement conçu. Tout attaquant parvenant à exploiter l'une de ces vulnérabilités pourrait obtenir les mêmes droits que l'utilisateur. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.
Taux de sévérité : Important

Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement dans le service d'annuaire Active Directory, Active Directory en mode application (ADAM) et Active Directory Lightweight Directory Service (AD LDS). Cette vulnérabilité pourrait permettre un déni de service si l'espace de pile était épuisé lors de l'exécution de certains types de requêtes LDAP ou LDAPS. Cette vulnérabilité n'affecte que les contrôleurs de domaine et les systèmes configurés pour exécuter ADAM ou AD LDS.
Taux de sévérité : Important

Cette mise à jour de sécurité corrige plusieurs vulnérabilités signalées confidentiellement dans le noyau Windows. La plus grave de ces vulnérabilités pourrait permettre l'exécution de code à distance si un utilisateur affichait une police Embedded OpenType (EOT) spécialement conçue. Dans le cas d'une attaque Web, l'attaquant doit héberger un site Web contenant des polices spécialement conçues destinées à exploiter cette vulnérabilité. En outre, les sites Web compromis et les sites Web qui acceptent ou hébergent des contenus provenant d'utilisateurs pourraient contenir un élément malveillant susceptible d'exploiter cette vulnérabilité. Un attaquant n'aurait aucun moyen d'obliger les utilisateurs à visiter un site Web malveillant. Il devrait y attirer l'utilisateur, généralement en l'incitant à cliquer sur un lien dans un message électronique ou un message instantané qui mène à son site.
Taux de sévérité : Critique

Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement dans Microsoft Windows 2000. Cette vulnérabilité pourrait permettre l'exécution de code à distance si un attaquant envoyait un message réseau spécialement conçu à un ordinateur exécutant le serveur d'enregistrement de licence. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral du système affecté. Les meilleures pratiques en matière de pare-feu, ainsi que les configurations par défaut des pare-feu, contribuent à protéger les réseaux contre les attaques lancées depuis l'extérieur de l'entreprise.
Taux de sévérité : Critique

Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement dans WSDAPI (API de services Web pour périphériques) sur le système d'exploitation Windows. Cette vulnérabilité pourrait permettre l'exécution de code à distance si un système Windows affecté recevait un paquet spécialement conçu. Seuls les attaquants sur le sous-réseau local pourraient exploiter cette vulnérabilité. Cette mise à jour de sécurité est de niveau « critique » pour toutes les éditions en cours de support de Windows Vista et Windows Server 2008. Pour plus d'informations, consultez la sous-section « Logiciels concernés et non concernés » plus loin dans ce Bulletin.
Taux de sévérité : Critique

Cette mise à jour de sécurité corrige plusieurs vulnérabilités signalées confidentiellement dans Microsoft Windows GDI+. Ces vulnérabilités pourraient permettre l'exécution de code à distance si un utilisateur affichait un fichier image spécialement conçu à l'aide de logiciels concernés ou s'il visitait un site Web contenant du code spécialement conçu. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.
Taux de sévérité : Critique

Cette mise à jour de sécurité corrige trois vulnérabilités signalées confidentiellement dans Microsoft .NET Framework et Microsoft Silverlight. Ces vulnérabilités permettent l'exécution de code à distance sur un système client si un utilisateur affiche une page Web spécialement conçue utilisant un navigateur Web pouvant exécuter des applications du navigateur XAML (XBAP) ou des applications Silverlight, ou si un attaquant arrive à persuader un utilisateur d'exécuter une application Microsoft .NET spécialement conçue. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur. Les vulnérabilités permettent également l'exécution de code à distance sur un système serveur exécutant IIS, si ce serveur permet le traitement des pages ASP.NET et qu'un attaquant arrive à télécharger une page ASP.NET spécialement conçue sur ce serveur et à l'exécuter, comme cela peut être possible dans un scénario d'hébergement Web. Les applications Microsoft .NET, les applications Silverlight, les XBAP et les pages ASP.NET qui ne sont pas malveillantes ne risquent pas d'être compromises en raison de cette vulnérabilité.
Taux de sévérité : Critique

Cette mise à jour de sécurité corrige plusieurs vulnérabilités signalées confidentiellement dans des contrôles ActiveX pour Microsoft qui ont été compilés avec une version vulnérable de Microsoft ATL (Active Template Library). Ces vulnérabilités pourraient permettre l'exécution de code à distance si un utilisateur a chargé un composant ou un contrôle spécialement conçu. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.
Taux de sévérité : Critique

Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement dans Microsoft Windows. La vulnérabilité pourrait permettre un déni de service si un attaquant envoyait un paquet malveillant lors du processus d'authentification NTLM.
Taux de sévérité : Important

Cette mise à jour de sécurité corrige plusieurs vulnérabilités signalées confidentiellement dans le noyau Windows. La plus grave de ces vulnérabilités pourrait permettre une élévation de privilèges si un attaquant se connectait au système et exécutait une application spécialement conçue. Pour exploiter ces vulnérabilités, l'attaquant doit disposer d'informations d'identification et d'authentification d'ouverture de session valides afin d'être en mesure d'ouvrir une session en local. Ces vulnérabilités ne peuvent pas être exploitées à distance ou par des utilisateurs anonymes.
Taux de sévérité : Important

Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement dans Microsoft Windows. La vulnérabilité pourrait permettre l'exécution de code à distance si un attaquant configurait une page Web malveillante qui appelle le service d'indexation en appelant son composant ActiveX. Cet appel pourrait inclure un lien malveillant et exploiter la vulnérabilité, accordant à l'attaquant un accès au système client avec les privilèges de l'utilisateur parcourant la page Web. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.
Taux de sévérité : Important

Cette mise à jour de sécurité corrige deux vulnérabilités signalées confidentiellement dans Microsoft Windows. Ces vulnérabilités pourraient permettre une usurpation de contenu si un attaquant parvenait à accéder au certificat utilisé par l'utilisateur final pour son authentification.
Taux de sévérité : Important

Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement commune à plusieurs contrôles ActiveX et actuellement exploitée. Cette vulnérabilité qui concerne les contrôles ActiveX ayant été compilés à l'aide de la version vulnérable de Microsoft ATL (Active Template Library) pourrait permettre l'exécution de code à distance si un utilisateur affichait une page Web spécialement conçue à l'aide d'Internet Explorer, tentant ainsi d'instancier le contrôle ActiveX. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.
Taux de sévérité : Critique

Cette mise à jour de sécurité corrige trois vulnérabilités signalées confidentiellement et une vulnérabilité révélée publiquement dans Internet Explorer. Ces vulnérabilités pourraient permettre l'exécution de code à distance si un utilisateur affichait une page Web spécialement conçue à l'aide d'Internet Explorer. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.
Taux de sévérité : Critique

Cette mise à jour de sécurité corrige deux vulnérabilités révélées publiquement dans le service FTP de Microsoft Internet Information Services (IIS) 5.0, Microsoft Internet Information Services (IIS) 5.1, Microsoft Internet Information Services (IIS) 6.0 et Microsoft Internet Information Services (IIS) 7.0. Sur IIS 7.0, seul le service FTP 6.0 est concerné. Ces vulnérabilités pourraient permettre l'exécution de code à distance (RCE) sur les systèmes exécutant le service FTP sur IIS 5.0 ou un déni de service (DoS) sur les systèmes exécutant le service FTP sur IIS 5.0, IIS 5.1, IIS 6.0 ou IIS 7.0.
Taux de sévérité : Important

Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement dans le lecteur Windows Media. Cette vulnérabilité pourrait permettre l'exécution de code à distance si un fichier ASF spécialement conçu était lu à l'aide du lecteur Windows Media 6.4. Tout attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.
Taux de sévérité : Critique

Cette mise à jour de sécurité corrige deux vulnérabilités signalées confidentiellement dans Windows Media Runtime. Ces vulnérabilités pourraient permettent l'exécution de code à distance si un utilisateur ouvrait un fichier multimédia spécialement conçu ou un contenu en continu spécialement conçu reçu d'un site Web ou de toute application proposant du contenu Web. Tout attaquant parvenant à exploiter ces vulnérabilités pourrait obtenir les mêmes droits que l'utilisateur. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.
Taux de sévérité : Critique

Cette mise à jour de sécurité corrige une vulnérabilité révélée publiquement et deux vulnérabilités signalées confidentiellement dans Server Message Block Version 2 (SMBv2). La plus grave de ces vulnérabilités pourrait permettre l'exécution de code à distance si un attaquant envoyait un paquet SMB spécialement conçu à un ordinateur exécutant le service Serveur. Les meilleures pratiques en matière de pare-feu, ainsi que les configurations par défaut des pare-feu, contribuent à protéger les réseaux contre les attaques lancées depuis l'extérieur de l'entreprise. Les meilleures pratiques recommandent que les systèmes connectés à Internet aient le moins possible de ports exposés.
Taux de sévérité : Critique

Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement dans les convertisseurs Microsoft Works. Cette vulnérabilité pourrait permettre l'exécution de code à distance si un utilisateur ouvrait un fichier Works spécialement conçu. Tout attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.
Taux de sévérité : Critique

Cette mise à jour de sécurité corrige plusieurs vulnérabilités dans Microsoft XML Core Services. La plus grave de ces vulnérabilités pourrait permettre l'exécution de code à distance si un utilisateur affichait une page Web spécialement conçue à l'aide d'Internet Explorer. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.
Taux de sévérité : Critique

Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement dans le service de configuration automatique de réseau local sans fil. Cette vulnérabilité pourrait permettre l'exécution de code à distance si un client ou un serveur avec une interface réseau sans fil activée recevait des trames sans fil spécialement conçues. Les systèmes qui ne disposent pas d'une carte sans fil activée ne sont pas exposés à cette vulnérabilité.
Taux de sévérité : Critique

Cette mise à jour de sécurité corrige plusieurs vulnérabilités signalées confidentiellement liées au traitement du protocole TCP/IP. Ces vulnérabilités pourraient permettre l'exécution de code à distance si un attaquant envoyait des paquets TCP/IP spécialement conçus sur le réseau à un ordinateur avec un service d'écoute. Les meilleures pratiques en matière de pare-feu, ainsi que les configurations par défaut des pare-feu, contribuent à protéger les réseaux contre les attaques lancées depuis l’extérieur de l’entreprise. Les meilleures pratiques recommandent que les systèmes connectés à Internet aient le moins possible de ports exposés.
Taux de sévérité : Critique

Cette mise à jour de sécurité corrige deux vulnérabilités signalées confidentiellement dans le format Windows Media. Chacune de ces vulnérabilités pourrait permettre l'exécution de code à distance si un utilisateur ouvrait un fichier multimédia spécialement conçu. Si un utilisateur a ouvert une session avec des privilèges d'administrateur, un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral d'un système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.
Taux de sévérité : Critique

Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement dans le contrôle ActiveX du composant d'édition DHTML. Un attaquant pourrait exploiter cette vulnérabilité en créant une page Web malveillante. Lorsqu'un utilisateur affiche cette page Web, cette vulnérabilité pourrait permettre l'exécution de code à distance. Un attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur connecté. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.
Taux de sévérité : Critique

Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement dans le moteur de script JScript qui pourrait permettre l'exécution de code à distance si un utilisateur ouvrait un fichier spécialement conçu ou visitait un site Web spécialement conçu et invoquait un script mal formé. Si un utilisateur a ouvert une session avec des privilèges d'administrateur, un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral d'un système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.
Taux de sévérité : Critique

Cette mise à jour de sécurité corrige plusieurs vulnérabilités signalées confidentiellement dans Microsoft ATL (Active Template Library). Ces vulnérabilités pourraient permettre l'exécution de code à distance si un utilisateur a chargé un composant ou un contrôle spécialement conçu, hébergé sur un site Web malveillant. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.
Taux de sévérité : Critique

Cette mise à jour de sécurité corrige deux vulnérabilités signalées confidentiellement dans la Connexion Bureau à distance Microsoft. Ces vulnérabilités pourraient permettre l'exécution de code à distance si un attaquant parvenait à convaincre un utilisateur des Services de terminaux (Terminal Services) de se connecter à un serveur malveillant.
Taux de sévérité : Critique

Cette mise à jour de sécurité corrige plusieurs vulnérabilités signalées confidentiellement dans Microsoft Office Web Components, qui pourraient permettre l'exécution de code à distance si un utilisateur ouvrait une page Web spécialement conçue. Tout attaquant parvenant à exploiter ces vulnérabilités pourrait obtenir les mêmes droits que l'utilisateur. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.
Taux de sévérité : Critique

Cette mise à jour de sécurité corrige une vulnérabilité dans Microsoft Telnet révélée publiquement. Cette vulnérabilité pourrait permettre à un attaquant d'obtenir des informations d'identification et de les utiliser pour s'identifier auprès de systèmes affectés. L'attaquant prendrait alors possession des droits de l'utilisateur.
Taux de sévérité : Important

Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement dans le service Station de travail de Windows. Cette vulnérabilité pourrait permettre une élévation de privilèges si un attaquant créait un message RPC spécialement conçu et l'envoyait à un système affecté. Un attaquant qui a réussi à exploiter cette vulnérabilité pourrait exécuter du code arbitraire et prendre le contrôle intégral du système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges. Pour exploiter cette vulnérabilité, l'attaquant doit disposer d'informations d'identification valides pour le système vulnérable. Cette vulnérabilité ne peut pas être exploitée par des utilisateurs anonymes.
Taux de sévérité : Important

Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement dans le Serveur de mise en file d'attente (MSMQ). Cette vulnérabilité pourrait permettre une élévation de privilèges si l'utilisateur recevait une requête spécialement conçue au niveau d'un service MSMQ concerné. Par défaut, le composant Message Queuing n'est pas installé sur les éditions concernées du système d'exploitation et ne peut être activé que par un utilisateur doté de privilèges d'administration. Seuls les clients qui ont installé manuellement le composant Message Queuing peuvent être concernés par ce problème.
Taux de sévérité : Important

Cette mise à jour de sécurité corrige deux vulnérabilités signalées confidentiellement dans WINS (Windows Internet Name Service). Chacune de ces vulnérabilités pourrait permettre l'exécution de code à distance si un utilisateur recevait un paquet de réplication WINS spécialement conçu sur un système affecté exécutant le service WINS. Par défaut, WINS n'est installé sur aucune des versions du système d'exploitation affecté. Seuls les clients ayant installé manuellement ce composant sont concernés par ce problème.
Taux de sévérité : Critique

Cette mise à jour de sécurité corrige deux vulnérabilités signalées confidentiellement dans le traitement de fichiers Windows Media. Chacune de ces vulnérabilités pourrait permettre l'exécution de code à distance si un utilisateur ouvrait un fichier AVI spécialement conçu. Si un utilisateur a ouvert une session avec des privilèges d'administrateur, un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral d'un système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.
Taux de sévérité : Critique

Cette mise à jour de sécurité corrige plusieurs vulnérabilités signalées confidentiellement dans Microsoft ATL (Active Template Library). Ces vulnérabilités pourraient permettre l'exécution de code à distance si un utilisateur a chargé un composant ou un contrôle spécialement conçu, hébergé sur un site Web malveillant. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.
Taux de sévérité : Critique

Cette mise à jour de sécurité corrige une vulnérabilité de déni de service signalée confidentiellement dans le composant Microsoft .NET Framework de Microsoft Windows. Cette vulnérabilité ne peut être seulement exploitée que si Internet Information Services 7.0 (IIS) est installé et si ASP.NET est configuré pour utiliser le mode intégré sur des versions affectées de Microsoft Windows.
Taux de sévérité : Important

Cette mise à jour de sécurité corrige plusieurs vulnérabilités signalées confidentiellement dans les versions publiques de Microsoft ATL (Active Template Library) incluses dans Visual Studio. Cette mise à jour de sécurité est destinée aux développeurs de composants et de contrôles. Les développeurs qui créent et redistribuent des composants et des contrôles à l'aide d'ATL devraient installer la mise à jour fournie dans ce Bulletin et suivre les conseils fournis pour créer, et distribuer à leurs clients, des composants et des contrôles qui ne sont pas exposés aux vulnérabilités décrites dans ce Bulletin de sécurité.
Taux de sévérité : Modéré

Cette mise à jour de sécurité est publiée hors cycle conjointement avec le Bulletin de sécurité Microsoft MS09-035, qui décrit des vulnérabilités dans les composants et les contrôles qui ont été développés à l'aide de versions vulnérables de Microsoft ATL (Active Template Library). En tant que mesure de défense en profondeur, cette mise à jour de sécurité pour Internet Explorer atténue les vecteurs d'attaque connus dans Internet Explorer pour les composants et les contrôles qui ont été développés avec des versions vulnérables d'ATL comme décrit dans l'Avis de sécurité Microsoft (973882) et le Bulletin de sécurité Microsoft MS09-035. Cette mise à jour de sécurité corrige également trois vulnérabilités signalées confidentiellement dans Internet Explorer. Ces vulnérabilités pourraient permettre l'exécution de code à distance si un utilisateur affichait une page Web spécialement conçue à l'aide d'Internet Explorer. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.
Taux de sévérité : Critique

Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement dans Microsoft Virtual PC et Microsoft Virtual Server. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait exécuter du code arbitraire et prendre le contrôle intégral du système invité affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges.
Taux de sévérité : Important

Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement actuellement exploitée. Cette vulnérabilité dans le contrôle ActiveX vidéo de Microsoft pourrait permettre l'exécution de code à distance si un utilisateur affichait une page Web spécialement conçue à l'aide d'Internet Explorer, tentant ainsi d'instancier le contrôle ActiveX. Ce contrôle ActiveX n'a pas été conçu pour être instancié dans Internet Explorer. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.
Taux de sévérité : Critique

Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement dans Microsoft Internet Security and Acceleration (ISA) Server 2006. Cette vulnérabilité pourrait permettre une élévation de privilèges si un attaquant parvenait à imiter un compte utilisateur avec privilèges d'administrateur sur une instance d'ISA Server configurée pour le mot de passe à usage unique d'authentification pour serveur RADIUS (OTP) et la délégation de l'authentification avec la délégation Kerberos contrainte.
Taux de sévérité : Important

Cette mise à jour de sécurité corrige une vulnérabilité dans Microsoft Office Publisher signalée confidentiellement qui pourrait permettre l'exécution de code à distance si un utilisateur ouvrait un fichier Publisher spécialement conçu. Tout attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral du système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.
Taux de sévérité : Important

Cette mise à jour de sécurité corrige deux vulnérabilités signalées confidentiellement dans le composant Moteur de polices Embedded OpenType (EOT) de Microsoft Windows. Ces vulnérabilités pourraient permettre l'exécution de code à distance. Un attaquant qui parviendrait à exploiter l'une de ces vulnérabilités pourrait prendre le contrôle intégral d'un système affecté à distance. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.
Taux de sévérité : Critique

Cette mise à jour de sécurité corrige une vulnérabilité révélée publiquement et deux vulnérabilités signalées confidentiellement dans Microsoft DirectShow. Ces vulnérabilités pourraient permettre l'exécution de code à distance si un utilisateur ouvrait un fichier multimédia QuickTime spécialement conçu. Tout attaquant parvenant à exploiter l'une de ces vulnérabilités pourrait obtenir les mêmes droits que l'utilisateur. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.
Taux de sévérité : Critique

Cette mise à jour de sécurité corrige deux vulnérabilités signalées confidentiellement qui pourraient permettre l'exécution de code à distance si un utilisateur ouvrait un fichier Word spécialement conçu. Tout attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral du système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges.
Taux de sévérité : Critique

Cette mise à jour de sécurité corrige une vulnérabilité révélée publiquement dans la fonction d'appel de procédure distante (RPC) Windows dans lequel le moteur de marshalling RPC ne met pas à jour son état interne correctement. Cette vulnérabilité pourrait permettre à un attaquant d'exécuter du code arbitraire et ainsi de prendre le contrôle intégral d'un système affecté. Les éditions en cours de support de Microsoft Windows ne sont fournies avec aucun client ou serveur RPC exposé à l'exploitation de cette vulnérabilité. Dans une configuration par défaut, les utilisateurs ne pourraient pas être attaqués par l'exploitation de cette vulnérabilité. Cependant, la vulnérabilité est présente dans le module d'exécution RPC de Microsoft Windows et pourrait affecter des applications RPC tierces.
Taux de sévérité : Important

Cette mise à jour de sécurité corrige deux vulnérabilités révélées publiquement et deux vulnérabilités signalées confidentiellement dans le noyau Windows qui pourraient permettre l'élévation de privilèges. Un attaquant ayant réussi à exploiter l'une de ces vulnérabilités pourrait exécuter du code arbitraire et prendre le contrôle intégral du système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges. Pour exploiter ces vulnérabilités, l'attaquant doit disposer d'informations d'identification valides afin d'ouvrir une session en local. Ces vulnérabilités ne peuvent pas être exploitées à distance ou par des utilisateurs anonymes.
Taux de sévérité : Important

Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement dans les convertisseurs Microsoft Works. Cette vulnérabilité pourrait permettre l'exécution de code à distance si un utilisateur ouvrait un fichier Works spécialement conçu. Tout attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.
Taux de sévérité : Critique

Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement dans Windows Search. Cette vulnérabilité pourrait permettre la divulgation d'informations si un utilisateur exécutait une recherche renvoyant un fichier spécialement conçu en tant que premier résultat ou si l'utilisateur prévisualisait un fichier spécialement conçu à partir des résultats de la recherche. Par défaut, le composant Windows Search n'est installé ni sur Microsoft Windows XP ni sur Windows Server 2003. Il s'agit d'un composant facultatif disponible au téléchargement. La version de Windows Search installée sur les éditions en cours de support de Windows Vista et de Windows Server 2008 n'est pas concernée par cette vulnérabilité.
Taux de sévérité : Modéré

Cette mise à jour de sécurité corrige trois vulnérabilités dans le spouleur d'impression Windows signalées confidentiellement. La plus grave de ces vulnérabilités pourrait permettre l'exécution de code à distance si un serveur affecté recevait une requête RPC spécialement conçue. Les meilleures pratiques en matière de pare-feu, ainsi que les configurations par défaut des pare-feu, contribuent à protéger les réseaux contre les attaques lancées depuis l’extérieur de l’entreprise. Les meilleures pratiques recommandent que les systèmes connectés à Internet aient le moins possible de ports exposés.
Taux de sévérité : Critique

Cette mise à jour de sécurité corrige plusieurs vulnérabilités signalées confidentiellement qui pourraient permettre l'exécution de code à distance si un utilisateur ouvrait un fichier Excel spécialement conçu contenant un objet d'enregistrement mal formé. Tout attaquant qui parviendrait à exploiter ces vulnérabilités pourrait prendre le contrôle intégral du système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges.
Taux de sévérité : Critique

Cette mise à jour de sécurité corrige une vulnérabilité révélée publiquement et une vulnérabilité signalée confidentiellement dans Microsoft Internet Information Services (IIS). Ces vulnérabilités pourraient permettre une élévation de privilèges si un attaquant envoyait une requête HTTP spécialement conçue à un site Web nécessitant une authentification. Ces vulnérabilités permettent à un attaquant de contourner la configuration IIS qui indique quel type d'authentification est autorisé. La liste de contrôle d'accès (ACL) basée sur le système de fichiers qui vérifie si un fichier est accessible par un utilisateur donné sera cependant toujours effective. Un attaquant qui parviendrait à exploiter ces vulnérabilités ne pourrait cependant obtenir que les autorisations accordées au compte utilisateur anonyme par les listes de contrôle d'accès du système de fichiers.
Taux de sévérité : Important

Cette mise à jour de sécurité corrige sept vulnérabilités signalées confidentiellement et une vulnérabilité révélée publiquement dans Internet Explorer. La plus grave de ces vulnérabilités pourrait permettre l'exécution de code à distance si un utilisateur affichait une page Web spécialement conçue en utilisant Internet Explorer. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.
Taux de sévérité : Critique

Cette mise à jour de sécurité corrige deux vulnérabilités signalées confidentiellement dans des implémentations d'Active Directory sur Microsoft Windows 2000 Server et Windows Server 2003 et d'Active Directory en mode application (ADAM) lorsqu'il est installé sur Windows XP Professionnel et Windows Server 2003. La plus grave de ces vulnérabilités pourrait permettre l'exécution de code à distance. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral à distance d'un système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges. Les meilleures pratiques en matière de pare-feu, ainsi que les configurations par défaut des pare-feu, contribuent à protéger les réseaux contre les attaques lancées depuis l’extérieur de l’entreprise. Les meilleures pratiques recommandent que les systèmes connectés à Internet aient le moins possible de ports exposés.
Taux de sévérité : Critique

Cette mise à jour de sécurité corrige une vulnérabilité révélée publiquement et plusieurs vulnérabilités signalées confidentiellement dans Microsoft Office PowerPoint qui pourraient permettre l'exécution de code à distance si un utilisateur ouvrait un fichier PowerPoint spécialement conçu. Tout attaquant qui parviendrait à exploiter ces vulnérabilités pourrait prendre le contrôle intégral du système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.
Taux de sévérité : Critique

Cette mise à jour de sécurité corrige une vulnérabilité révélée publiquement et plusieurs vulnérabilités signalées confidentiellement dans Microsoft Office PowerPoint qui pourraient permettre l'exécution de code à distance si un utilisateur ouvrait un fichier PowerPoint spécialement conçu. Tout attaquant qui parviendrait à exploiter ces vulnérabilités pourrait prendre le contrôle intégral du système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.
Taux de sévérité : Critique

Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement et une vulnérabilité révélée publiquement dans Microsoft Internet Security and Acceleration (ISA) Server et dans Microsoft Forefront Threat Management Gateway (TMG) Medium Business Edition (MBE). Ces vulnérabilités pourraient permettre un déni de service si un attaquant envoyait des paquets réseau spécialement conçus au système affecté ou la divulgation d'informations ou l'usurpation si l'utilisateur cliquait sur un lien malveillant ou visitait un site Web dont le contenu serait contrôlé par l'attaquant.
Taux de sévérité : Important

Cette mise à jour de sécurité corrige une vulnérabilité révélée publiquement dans la fonction SearchPath de Windows. Cette vulnérabilité pourrait permettre une élévation de privilèges si un utilisateur téléchargeait un fichier spécialement conçu à un emplacement spécifique, puis ouvrait une application capable de charger le fichier sous certaines conditions.
Taux de sévérité : Modéré

Cette mise à jour de sécurité corrige quatre vulnérabilités signalées confidentiellement et deux vulnérabilités révélées publiquement dans Internet Explorer. Ces vulnérabilités pourraient permettre l'exécution de code à distance si l'utilisateur consultait une page Web spécialement conçue à l'aide d'Internet Explorer ou si l'utilisateur se connectait au serveur d'un attaquant par le biais du protocole HTTP. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.
Taux de sévérité : Critique

Cette mise à jour de sécurité corrige une vulnérabilité révélée publiquement et deux vulnérabilités signalées confidentiellement dans les services HTTP Windows (WinHTTP). La plus grave de ces vulnérabilités pourrait permettre l'exécution de code à distance. Tout attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral du système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.
Taux de sévérité : Critique

Cette mise à jour de sécurité corrige quatre vulnérabilités révélées publiquement dans Microsoft Windows. Ces vulnérabilités pourraient permettre une élévation de privilèges si un attaquant pouvait ouvrir une session au système et exécuter une application spécialement conçue. Pour exploiter cette vulnérabilité, l'attaquant doit pouvoir exécuter du code sur l'ordinateur local. Tout attaquant qui parviendrait à exploiter ces vulnérabilités pourrait prendre le contrôle intégral du système affecté.
Taux de sévérité : Important

Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement dans Microsoft DirectX. Cette vulnérabilité pourrait permettre l'exécution de code à distance si l'utilisateur ouvrait un fichier MJPEG spécialement conçu. Tout attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral du système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.
Taux de sévérité : Critique

Cette mise à jour de sécurité corrige deux vulnérabilités révélées publiquement et deux vulnérabilités signalées confidentiellement dans les convertisseurs de texte de Microsoft WordPad et Microsoft Office. Ces vulnérabilités pourraient permettre l'exécution de code à distance si un fichier spécialement conçu était ouvert dans WordPad ou dans Microsoft Office Word. N'ouvrez pas de fichiers Microsoft Office, RTF, Write ou WordPerfect provenant de sources non fiables à l'aide des versions concernées de WordPad ou Microsoft Office Word.
Taux de sévérité : Critique

Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement et une vulnérabilité révélée publiquement. Ces vulnérabilités pourraient permettre l'exécution de code à distance si l'utilisateur ouvrait un fichier Excel spécialement conçu. Tout attaquant qui parviendrait à exploiter ces vulnérabilités pourrait prendre le contrôle intégral du système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.
Taux de sévérité : Critique

Cette mise à jour de sécurité résout deux vulnérabilités signalées confidentiellement et deux vulnérabilités révélées publiquement dans le serveur Windows DNS et le serveur Windows WINS. Ces vulnérabilités pourraient permettre à un attaquant distant de rediriger le trafic réseau à destination de systèmes Internet vers ses propres systèmes.
Taux de sévérité : Important

Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement dans le package de sécurité Secure Channel (SChannel) dans Windows. Cette vulnérabilité pourrait permettre une usurpation de contenu si un attaquant parvenait à accéder au certificat utilisé par l'utilisateur final pour son authentification. Nos clients ne sont concernés que si l'attaquant a obtenu par d'autres moyens le composant clé publique du certificat utilisé pour l'authentification.
Taux de sévérité : Important

Cette mise à jour de sécurité corrige plusieurs vulnérabilités signalées confidentiellement dans le noyau Windows. La vulnérabilité la plus grave pourrait permettre l'exécution de code à distance si un utilisateur affichait un fichier image EMF ou WMF spécialement conçu sur un système affecté.
Taux de sévérité : Critique

Cette mise à jour de sécurité corrige plusieurs vulnérabilités signalées confidentiellement dans Microsoft Windows GDI+. Ajout d'une entrée à la section « Forum aux questions concernant cette mise à jour de sécurité » pour indiquer la réédition des packages de mise à jour pour Windows XP Service Pack 3 et Windows Server 2003 Service Pack 2 afin de corriger un problème d'installation. Les clients qui ont déjà installé les mises à jour pour Windows XP Service Pack 3 et Windows Server 2003 Service Pack 2 n'ont pas à les réinstaller.
Taux de sévérité : Critique

Cette mise à jour de sécurité corrige trois vulnérabilités dans Microsoft Office Visio signalées confidentiellement, qui pourraient permettre l'exécution de code à distance si un utilisateur ouvrait un fichier Visio spécialement conçu. Tout attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral du système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.
Taux de sévérité : Important

Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement dans Microsoft SQL Server. Cette vulnérabilité pourrait permettre l'exécution de code à distance si des utilisateurs non sûrs accédaient à un système affecté ou si une attaque par injection SQL se produisait sur un système affecté. Les systèmes exécutant SQL Server 7.0 Service Pack 4, SQL Server 2005 Service Pack 3 et SQL Server 2008 ne sont pas concernés par ce problème.
Taux de sévérité : Important

Cette mise à jour de sécurité corrige deux vulnérabilités signalées confidentiellement dans Microsoft Exchange Server. La première vulnérabilité pourrait permettre l'exécution de code à distance si un message au format TNEF (Transport Neutral Encapsulation Format) spécialement conçu était envoyé à Microsoft Exchange Server. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral du système affecté avec les privilèges du Compte de service Exchange Server. La seconde vulnérabilité pourrait permettre un déni de service si une commande MAPI spécialement conçue était envoyée à Microsoft Exchange Server. Un attaquant qui réussirait à exploiter cette vulnérabilité pourrait empêcher le service de surveillance du système Microsoft Exchange et d'autres services utilisant le fournisseur EMSMDB32 de répondre.
Taux de sévérité : Critique

Cette mise à jour de sécurité corrige deux vulnérabilités signalées confidentiellement. Ces vulnérabilités pourraient permettre l'exécution de code à distance si un utilisateur affichait une page Web spécialement conçue à l'aide d'Internet Explorer. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.
Taux de sévérité : Critique

Cette mise à jour de sécurité corrige plusieurs vulnérabilités signalées confidentiellement dans le protocole Microsoft Server Message Block (SMB). Ces vulnérabilités pourraient permettre l'exécution de code à distance sur les systèmes affectés. Un attaquant qui parviendrait à exploiter ces vulnérabilités pourrait installer des programmes, afficher, modifier ou supprimer des données ou créer des comptes dotés de tous les privilèges. Les meilleures pratiques en matière de pare-feu, ainsi que les configurations par défaut des pare-feu, contribuent à protéger les réseaux contre les attaques lancées depuis l’extérieur de l’entreprise. Les meilleures pratiques recommandent que les systèmes connectés à Internet aient le moins possible de ports exposés.
Taux de sévérité : Critique