Microsoft publie son bulletin de sécurité mensuel (Juin 2004)


 

F-VNS SECURITY v2.0 - Le service de veille personnalisée, destiné aux responsables sécurité des systèmes d'information (RSSI) et directeurs informatiques » Période d'essai gratuite de 15 jours

C'est parti pour la mise à jour mensuelle des environnements Microsoft. L'éditeur conseille bien entendu à ses clients de télécharger ce patch destiné aux systèmes d'exploitation Windows 2000 (SP 2 à 4), Windows XP versions 32 et 64 bits, ainsi qu'à Windows Server 2003. Par contre, Windows NT 4.0 n'est pas affecté. Dans le même temps, Microsoft corrige deux failles. Signe d'une accalmie sur le front des faiblesses des systèmes du premier éditeur mondial ?

Faille sur Crystal Reports - La première faille n'est pas directement imputable à Microsoft, puisqu'elle concerne les solutions de 'reporting' Crystal Reports et Crystal Enterprise de Business Objetcs. Cette faille permet à distance d'effacer des fichiers en utilisant l'interface Web de Crystal Reports ou Crystal Enterprise.

 

Crystal Reports est présent sur de nombreux sites motorisés par Microsoft, souvent employé en frontal de reporting. C'est pourquoi la mise à jour figure sur le patch, et concerne plus particulièrement Visual Studio .NET et Outlook 2003 avec Business Contact Manager, mais aussi Microsoft Business Solutions CRM 1.2.

Faille sur le protocole DirectPlay
- La seconde faille touche un public plus large, puisqu'elle concerne DirectPlay 4, l'une des trois interfaces de programmation de Microsoft DirectPlay.

Cette interface participe au protocole qui fournit des services réseaux basés sur TCP/IP et sur IPX. C'est-à-dire que la faille concerne surtout les joueurs en ligne, car DirectPlay supporte les jeux multijoueurs.

Dans cette configuration, la faille affecte plus particulièrement les composants DirectX 7.x, 8.x et 9.x, alors que les versions 5 et 6 ne sont pas touchées.

La faille peut aboutir à une attaque par déni de service, mais représente un risque jugé modéré, car elle est particulièrement difficile à exploiter, et peut être facilement évitée par l'application du patch, bien sur, mais aussi en apportant quelques changements de configuration, par exemple.

En tous cas, c'est une bonne surprise qui nous est réservée par Microsoft, avec deux failles corrigées, ce qui nous change après les 20 failles critiques corrigées en avril dernier !

Par Yves Grandmontagne (Silicon) 

» 06.11.2004 : Microsoft Crystal Reports Web Viewer Directory Traversal (MS04-017)
» 06.11.2004 : Microsoft DirectPlay Packet Validation Denial of Service (MS04-016)


 

 F-VNS Security Audits de Sécurité & Tests Intrusifs Mailing Listes Advisories  Service Publicitaire

Tous droits réservés © 2002-2004 K-OTiK Security Voir Notice Légale   

actualité informatique  Exploits