C’est bientôt Noël ! Microsoft nous propose ce mois-ci pas moins de 7 bulletins à mettre au pied du sapin. A l’exception de la faille sur le pilote Macrovision, les 14 failles ainsi corrigées ont toutes été reportées de façon responsable à l’éditeur (« responsible disclosure » signifiant que le « découvreur » n’a rien divulgué avant la publication du correctif, par opposition au « full disclosure » dont il se dit d’ailleurs qu’il va bientôt disparaitre).

Le correctif pour la faille Macrovision, celle-ci ayant été mise au jour à la mi-octobre, était très attendu car la vulnérabilité était déjà exploitée sur Internet. Notons que bien qu’il s’agisse d’une faille dite « locale » (pour ainsi dire, elle ne concerne pas un service réseau de Windows), cette élévation de privilèges peut très bien être indirectement exploitée à distance soit en utilisant d’abord une autre faille, distante celle-ci, soit plus simplement en saupoudrant l’attaque d’une dose d’ingénierie sociale afin d’inciter la victime à exécuter un programme malicieux. Il n’est donc pas nécessaire, bien qu’évidemment suffisant, d’être authentifié sur le système avec un login et mot de passe ; dans son bulletin, Microsoft le précise d’ailleurs :

An attacker must convince a user to run an executable or must have valid logon credentials to exploit this vulnerability.

Cette exploitabilité des failles « locales » avait déjà été discutée dans le contexte MacOS.

Observons par ailleurs que Windows Vista est plus touché que d’habitude : toutes les vulnérabilités sauf MS07-065 affectent ce système.

Voici un aperçu des vulnérabilités critiques de ce mois de décembre :

MS07-064 : deux vulnérabilités permettant l’exécution de code arbitraire dans DirectX (Ref. Lexsi 9433).

MS07-068 : quatre vulnérabilités de type débordement de tampon dans le tas dans Media Format Runtime et Media Services (Ref. Lexsi 9434).

MS07-069 : quatre vulnérabilités de type corruption de mémoire dans Internet Explorer (Ref. Lexsi 9437).

Les quatre derniers bulletins ont une criticité moindre :

MS07-063 : vulnérabilité permettant l’exécution de code arbitraire dans SMBv2 sous Windows Vista (Ref. Lexsi 9436).

MS07-065 : vulnérabilité de type débordement de tampon dans la pile dans le service « Message Queuing » (Ref. Lexsi 9435).

MS07-066 : élévation de privilèges dans le noyau de Windows Vista (Ref. Lexsi 9438).

MS07-067 : élévation de privilèges par le biais du pilote « Secdrv.sys » (Ref. Lexsi 9197).

N’oubliez donc pas de mettre à jour vos machines sous peine de cadeaux empoisonnés…