Crystal Reports est présent sur de nombreux sites motorisés par Microsoft, souvent employé en frontal de reporting. C'est pourquoi la mise à jour figure sur le patch, et concerne plus particulièrement Visual Studio .NET et Outlook 2003 avec Business Contact Manager, mais aussi Microsoft Business Solutions CRM 1.2.

Faille sur le protocole DirectPlay - La seconde faille touche un public plus large, puisqu'elle concerne DirectPlay 4, l'une des trois interfaces de programmation de Microsoft DirectPlay.

Cette interface participe au protocole qui fournit des services réseaux basés sur TCP/IP et sur IPX. C'est-à-dire que la faille concerne surtout les joueurs en ligne, car DirectPlay supporte les jeux multijoueurs.

Dans cette configuration, la faille affecte plus particulièrement les composants DirectX 7.x, 8.x et 9.x, alors que les versions 5 et 6 ne sont pas touchées.

La faille peut aboutir à une attaque par déni de service, mais représente un risque jugé modéré, car elle est particulièrement difficile à exploiter, et peut être facilement évitée par l'application du patch, bien sur, mais aussi en apportant quelques changements de configuration, par exemple.

En tous cas, c'est une bonne surprise qui nous est réservée par Microsoft, avec deux failles corrigées, ce qui nous change après les 20 failles critiques corrigées en avril dernier !

Par Yves Grandmontagne (Silicon) 

» 06.11.2004 : Microsoft Crystal Reports Web Viewer Directory Traversal (MS04-017)
» 06.11.2004 : Microsoft DirectPlay Packet Validation Denial of Service (MS04-016)