Une faille de sécurité critique a été découverte dans Microsoft Office Web Components. Cette faille, qui n'est pas corrigée et qui est activement exploitée, concerne Microsoft Office XP SP3 et Microsoft Office 2003 SP3 (et leurs versions antérieures). D'autres versions peuvent être impactées en fonction des modules installés.

En attendant que le correctif soit disponible, Microsoft propose une solution de contournement qui permet de désactiver la faille de sécurité.
Pour consulter le moyen de contournement mis à disposition par Microsoft, rendez-vous sur la page suivante : Une vulnérabilité dans Microsoft Office Web Components contrôle peut permettre l'exécution de code à distance

• Pour activer le moyen de contournement (sécuriser votre PC) : Activer la solution de contournement
• Pour désactiver le moyen de contournement (remettre votre PC dans l'état initial) : Désactiver la solution de contournement

• Microsoft Office Web Components Code Execution Vulnerability
• Microsoft Security Advisory (973472)
• Microsoft Security Advisory 973472 Released
• More information about the Office Web Components ActiveX vulnerability

Firefox, le navigateur de la Fondation Mozilla, est victime d'une faille de sécurité hautement critique. En effet, le nouveau moteur javascript TraceMonkey et sa technologie JIT (Just-in-time) sont victimes d'une erreur de type "corruption de mémoire".

La faille de sécurité est considérée comme hautement critique car elle est actuellement exploitée sur internet. En attendant qu'une nouvelle version de Firefox soit publiée, la Fondation Mozilla propose un moyen de contournement permettant de bloquer la faille de sécurité.

Pour sécuriser son PC :
1 : Tapez about:config dans la barre d'adresse
2 : Tapez jit dans le champ de filtrage
3 : Double-cliquez sur la ligne contenant javascript.options.jit.content. Pour sécuriser votre ordinateur, la ligne doit avoir la valeur false.

Pour remettre le navigateur dans l'état d'origine (lorsque la faille sera corrigée), il suffit de reprendre la procédure ci-dessus et de mettre la valeur de la ligne sur true (en double-cliquant).
Nous vous recommandons d'appliquer ce moyen de contournement le plus rapidement possible. La faille peut être exploitée à l'aide d'une simple page web volontairement malformée. En cas d'exploitation réussie, un utilisateur malveillant pourrait prendre le contrôle de votre ordinateur et y lancer des commandes.

Sources :

• Critical JavaScript vulnerability in Firefox 3.5
• Mozilla Firefox Memory Corruption Vulnerability

Comme chaque deuxième mardi du mois, Microsoft vient de publier son lot de correctifs mensuels. En effet, ce sont six failles de sécurité (dont trois sont jugées critiques) qui sont corrigées aujourd'hui.

Cette mise à jour permet également de bloquer la faille de sécurité extrêmement critique détectée la semaine dernière. Cette faille permettait à un utilisateur malveillant de prendre le contrôle de votre ordinateur grâce à Internet Explorer et un Contrôle ActiveX (voir cette news : Microsoft : Faille extrêmement critique dans un Contrôle Active X).

Pour augmenter la sécurité de votre ordinateur, nous vous recommandons d'appliquer les mises à jour le plus rapidement possible. Pour télécharger ces mises à jour, rendez-vous sur Microsoft Update.

Remarque : Les personnes ayant appliqué le moyen de contournement (cf. notre article précédent) ne doivent pas le supprimer avant de lancer Microsoft Update. La correction est déjà appliquée sur leur PC et Windows Update va gérer de lui-même la présence de ce correctif.

Sources :
Synthèse des Bulletins de sécurité Microsoft de juillet 2009
Microsoft Security Bulletin MS09-032 - Critical

Microsoft a annoncé avoir eu connaissance d'une faille de sécurité impactant le Contrôle ActiveX qui permet de lire les vidéos en streaming.

La faille, qui touche Windows XP SP3 et Windows 2003 SP2 (et leurs versions antérieures), est à considérer comme extrêmement critique. En effet, le simple fait de consulter une page web volontairement malformée ou de cliquer sur un lien reçu dans un email peut vous rendre vulnérable (Note : Il faut que le logiciel utilise le Contrôle ActiveX. C'est le cas si vous utilisez Internet Explorer ou Outlook par exemple).
Aucun correctif n'est disponible pour le moment et la faille est déjà exploitée sur internet.

Microsoft travaille activement sur la correction de ce problème de sécurité. En attendant de fournir un correctif, Microsoft propose un moyen de contournement pour désactiver temporairement le composant vulnérable. Le moyen de contournement est disponible sur cette page : Vulnerability in Microsoft Video ActiveX control could allow remote code execution

• Pour activer le moyen de contournement (sécuriser votre PC) : Enable workaround (Activer le moyen de contournement)
• Pour désactiver le moyen de contournement (remettre votre PC dans l'état initial) : Disable workaround (Désactiver le moyen de contournement)

Depuis le 11 juin, la Fondation Mozilla met à disposition une nouvelle version de son navigateur internet Firefox. En effet, Firefox est désormais disponible dans une version 3.0.11.

Cette version corrige plusieurs problèmes concernant : la stabilité, la base de données interne SQLite, la corruption de la base de données des marque-pages ainsi que 4 failles de sécurité jugées critiques. Il est donc indispensable d'appliquer la mise à jour le plus rapidement possible.

Pour mettre à jour Firefox, vous pouvez utiliser l'assistant de mise à jour intégré au logiciel. Un exemple de mise à jour du navigateur est disponible ici : Comment mettre à jour le navigateur Firefox ?

Sources :
Quoi de neuf dans Firefox 3.0.11 ?
Fixed in Firefox 3.0.11 ?

Adobe, éditeur des logiciels Adobe Reader et Adobe Acrobat vient de publier plusieurs correctifs pour ses logiciels. Adobe avait annoncé vouloir se positionner sur le Patch Day de Microsoft (mais avec une périodicité trimestrielle) pour publier ses correctifs de sécurité. C'est désormais chose faite.

Pour ce mois de juin 2009, Adobe publie une version 9.1.2 des logiciels Adobe Reader et Adobe Acrobat. Cette nouvelle version corrige 13 failles de sécurité détectées dans les logiciels en question.

Pour améliorer la sécurité de votre ordinateur, il est donc recommandé d'appliquer ces mises à jour le plus rapidement possible.
Pour télécharger les dernières versions de vos logiciels, rendez-vous sur la page suivante : Adobe : Mises à niveau de produits

Sources :
APSB09-07 Security Updates available for Adobe Reader and Acrobat
Adobe adopte un cycle régulier de mises à jour

Comme chaque deuxième mardi du mois, Microsoft a publié une série de correctifs pour ses applications. Ce Patch Day du mois de juin est plutôt conséquent. En effet, Microsoft publie dix bulletins de sécurité qui corrigent au total trente et une failles.

Parmi les logiciels impactés, nous pouvons citer Windows, Word, Excel, Works ou encore Internet Explorer.

En cas d'exploitation réussie, une faille de sécurité critique peut permettre à un utilisateur malveillant d'accéder à votre ordinateur et d'y exécuter des commandes. Il est donc indispensable de mettre votre ordinateur à jour le plus rapidement possible.

• Pour Windows et les produits Office (versions 2003 et supérieures) : Microsoft Update
• Pour Microsoft Office 2000 : Microsoft Office Update

Microsoft vient de publier un correctif de sécurité qui concerne le logiciel de présentation Microsoft PowerPoint. Bien que ce Patch Day du mois de mai soit très léger (seulement un correctif), il n'en est pas moins important. En effet, les failles de sécurité corrigées sont jugées critiques.

En cas d'exploitation réussie, une faille de sécurité critique peut permettre à un utilisateur malveillant d'exécuter des commandes sur votre ordinateur, et donc d'en prendre le contrôle à distance. Les failles de sécurité peuvent être exploitées à l'aide d'un fichier PPS volontairement modifié.

Il est donc fortement recommandé de mettre à jour PowerPoint le plus rapidement possible en vous rendant sur les sites suivants :

• Si vous utilisez Office 2000 : Rendez-vous sur Office Update pour télécharger la mise à jour.
• Si vous utilisez une version plus récente (Office 2003, 2007, ...), rendez-vous simplement sur Microsoft Update.

Deux failles de sécurité critiques ont été découvertes récemment dans Adobe Acrobat et Adobe Reader. Ces failles touchent le moteur de rendu Javascript des deux logiciels. Les versions 9.1, 8.1.4, et 7.1.1 sont concernées (ainsi que leurs versions antérieures).

A ce jour, les correctifs ne sont pas disponibles. En attendant les correctifs, Adobe recommande de désactiver le moteur Javascript dans Adobe Acrobat et Adobe Reader. Nous vous recommandons donc de désactiver l'option Javascript (cf. cette page pour un exemple en image) ou de changer de lecteur de fichiers PDF (Vous pouvez utiliser Sumatra PDF ou encore Foxit Reader).

La faille est utilisable à l'aide d'un fichier PDF volontairement modifié. En cas d'exploitation réussie, elle peut permettre à un utilisateur malveillant d'exécuter des commandes sur votre ordinateur.

Sources :
Adobe Reader JavaScript Methods Memory Corruption
Update on Adobe Reader Issue
Vulnérabilités des logiciels Adobe Reader et Adobe Acrobat

La Fondation Mozilla vient de publier une nouvelle version de son navigateur internet Firefox. Bien que la version 3.0.9 soit sortie il y a tout juste une semaine (voir notre article sur cette page), c'est une nouvelle version 3.0.10 qui est désormais disponible.

Cette version corrige un problème de stabilité ainsi qu'une faille de sécurité apparues depuis la version 3.0.9 (il s'agit d'une régression causée par un correctif appliqué dans le version 3.0.9). Il est donc indispensable d'appliquer la mise à jour le plus rapidement possible.

Pour télécharger la dernière version du navigateur, vous pouvez utiliser l'assistant de mise à jour intégré au logiciel (voir cette page : Comment mettre à jour le navigateur Firefox ?)

Sources :
Quoi de neuf dans Firefox 3.0.10 ?
Mozilla Foundation Security Advisory 2009-23