Vulnérabilités dans Windows

• Type de mise à jour : Critique

Cette mise à jour de sécurité corrige deux vulnérabilités signalées confidentiellement dans la vérification Authenticode de Windows qui pourraient permettre l'exécution de code à distance. Un attaquant qui parviendrait à exploiter l'une de ces vulnérabilités pourrait prendre le contrôle intégral d'un système affecté.

• Voir le bulletin de sécurité MS10-019

Vulnérabilités dans le client SMB

• Type de mise à jour : Critique

Cette mise à jour de sécurité corrige une vulnérabilité révélée publiquement et plusieurs vulnérabilités signalées confidentiellement dans Microsoft Windows. Ces vulnérabilités pourraient permettre l'exécution de code à distance si un attaquant envoyait une réponse SMB spécialement conçue à une requête SMB établie par le client. Pour exploiter ces vulnérabilités, un attaquant doit convaincre l'utilisateur d'établir une connexion SMB à un serveur SMB spécialement conçu.

• Voir le bulletin de sécurité MS10-020

Vulnérabilités dans le noyau Windows

• Type de mise à jour : Important (Windows XP, 2003 et Vista), Modéré (Windows Vista SP1, 2008 et 7)

Cette mise à jour de sécurité corrige plusieurs vulnérabilités signalées confidentiellement dans Microsoft Windows. La plus grave de ces vulnérabilités pourrait permettre une élévation de privilèges si un attaquant ouvrait une session locale et exécutait une application spécialement conçue. Pour exploiter ces vulnérabilités, l'attaquant doit disposer d'informations d'identification valides afin d'ouvrir une session en local. Ces vulnérabilités ne peuvent pas être exploitées à distance ou par des utilisateurs anonymes.

• Voir le bulletin de sécurité MS10-021

Vulnérabilité dans le moteur de script VBScript

• Type de mise à jour : Important

Cette mise à jour de sécurité corrige une vulnérabilité révélée publiquement dans VBScript sur Microsoft Windows qui pourrait permettre l'exécution de code à distance. Cette mise à jour de sécurité est de niveau « important » pour Microsoft Windows 2000, Windows XP et Windows Server 2003. Sur Windows Server 2008, Windows Vista, Windows 7 et Windows Server 2008 R2, le code vulnérable n'est pas exploitable. Toutefois, vu que le code est présent, cette mise à jour est fournie en tant que mesure de défense en profondeur et ne présente pas d'indice de gravité.

• Voir le bulletin de sécurité MS10-022

Vulnérabilité dans Microsoft Office Publisher

• Type de mise à jour : Important

Cette mise à jour de sécurité corrige une vulnérabilité dans Microsoft Office Publisher signalée confidentiellement qui pourrait permettre l'exécution de code à distance si un utilisateur ouvrait un fichier Publisher spécialement conçu.

• Voir le bulletin de sécurité MS10-023

Vulnérabilités dans Microsoft Exchange et SMTP Windows

• Type de mise à jour : Important

Cette mise à jour de sécurité corrige une vulnérabilité révélée publiquement et une vulnérabilité signalée confidentiellement dans Microsoft Exchange et le service SMTP Windows. La plus grave de ces vulnérabilités pourrait permettre un déni de service si un attaquant envoyait une réponse DNS spécialement conçue à un ordinateur exécutant le service SMTP.

• Voir le bulletin de sécurité MS10-024

Vulnérabilité dans Microsoft Windows Media Services

• Type de mise à jour : Critique

Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement dans Windows Media Services s'exécutant sur Microsoft Windows 2000 Server. Cette vulnérabilité pourrait permettre l'exécution de code à distance si un attaquant envoyait un paquet d'informations de transport spécialement conçu à un système Microsoft Windows 2000 Server exécutant Windows Media Services.

• Voir le bulletin de sécurité MS10-025

Vulnérabilité dans les codecs Microsoft MPEG Layer-3

• Type de mise à jour : Critique

Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement dans les codecs audio Microsoft MPEG Layer-3. Cette vulnérabilité pourrait permettre l'exécution de code à distance si un utilisateur ouvrait un fichier AVI spécialement conçu contenant un flux audio MPEG Layer-3. Si un utilisateur a ouvert une session avec des privilèges d'administrateur, un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral d'un système affecté.

• Voir le bulletin de sécurité MS10-026

Vulnérabilité dans le lecteur Windows Media

• Type de mise à jour : Critique

Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement dans le lecteur Windows Media. Cette vulnérabilité pourrait permettre l'exécution de code à distance si le lecteur Windows Media ouvrait du contenu multimédia spécialement conçu hébergé sur un site Web malveillant. Tout attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur.

• Voir le bulletin de sécurité MS10-027

Vulnérabilités dans Microsoft Visio

• Type de mise à jour : Important

Cette mise à jour de sécurité corrige deux vulnérabilités signalées confidentiellement dans Microsoft Office Visio. Ces vulnérabilités pourraient permettre l'exécution de code à distance si un utilisateur ouvrait un fichier Visio spécialement conçu. Tout attaquant parvenant à exploiter ces vulnérabilités pourrait obtenir les mêmes droits que l'utilisateur.

• Voir le bulletin de sécurité MS10-028

Vulnérabilité dans le composant ISATAP

• Type de mise à jour : Modéré

Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement dans Microsoft Windows. Cette mise à jour de sécurité est de niveau « modéré » pour Windows XP, Windows Server 2003, Windows Vista et Windows Server 2008. Windows 7 et Windows Server 2008 R2 ne sont pas vulnérables car ils disposent de la fonctionnalité déployée par cette mise à jour de sécurité.

• Voir le bulletin de sécurité MS10-029