Outre le correctif destiné à la très critique faille WMF publié il y a quelques jours, Microsoft vient de diffuser son traditionnel bulletin de sécurité mensuel pour le mois de janvier.
Outre le correctif destiné à la très critique faille WMF publié il y a quelques jours, Microsoft vient de diffuser son traditionnel bulletin de sécurité mensuel pour le mois de janvier.
Deux vulnérabilités qualifiées de critiques y sont présentées et corrigées. La première concerne Outlook 2000 et Exchange Server. Elle permet l'exécution de code à distance. Le problème résulte de la façon dont les deux applications décodent une pièce jointe MIME au format TNEF (Transport Neutral Encapsulation Format).
Un attaquant pourrait exploiter cette vulnérabilité en créant un message TNEF spécialement conçu qui pourrait permettre l'exécution de code à distance lorsqu'un utilisateur ouvre ou affiche un message électronique malveillant ou lorsque la banque d'informations de Microsoft Exchange Server traite le message spécialement conçu.
Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral d'un système affecté.
La seconde faille impacte Windows 2000 Service Pack 4, Windows XP SP1 et 2, XP Professionnel Édition x64, Windows Server 2003, Windows Server 2003 Édition x64, ainsi que Windows 98 et Me.
Egalement qualifiée de «critique», elle permet à un attaquant distant de prendre le contrôle de la machine en injectant du code. Le problème se situe dans la manière dont Windows traite les polices incorporées mal formées. Un attaquant pourrait exploiter cette vulnérabilité en construisant une police Web incorporée malveillante qui pourrait permettre l'exécution de code à distance si un utilisateur visitait un site Web malveillant ou affichait un message électronique spécialement conçu.