Vulnérabilités dans le service d'authentification Internet

• Type de mise à jour : Critique

Cette mise à jour de sécurité corrige deux vulnérabilités signalées confidentiellement dans Microsoft Windows. Ces vulnérabilités pourraient permettre l'exécution de code à distance si des messages reçus par le serveur du service d'authentification Internet sont copiés de façon incorrecte dans la mémoire lors du traitement des tentatives d'authentification PEAP. Un attaquant qui parviendrait à exploiter l'une de ces vulnérabilités pourrait prendre le contrôle intégral d'un système affecté. Les serveurs utilisant le service d'authentification Internet sont uniquement concernés lors de l'utilisation de l'authentification PEAP avec MS-CHAP v2.

• Voir le bulletin de sécurité

Vulnérabilité dans Microsoft Office Project

• Type de mise à jour : Critique

Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement dans Microsoft Office Project. Cette vulnérabilité pourrait permettre l'exécution de code à distance si un utilisateur ouvrait un fichier Project spécialement conçu. Tout attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral du système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges.

• Voir le bulletin de sécurité

Mise à jour de sécurité cumulative pour Internet Explorer

• Type de mise à jour : Critique

Cette mise à jour de sécurité corrige quatre vulnérabilités signalées confidentiellement et une vulnérabilité révélée publiquement dans Internet Explorer. Ces vulnérabilités pourraient permettre l'exécution de code à distance si un utilisateur affichait une page Web spécialement conçue à l'aide d'Internet Explorer. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur. Un contrôle ActiveX créé avec des en-têtes Microsoft ATL (Active Template Library) pourrait également permettre l'exécution de code à distance.

• Voir le bulletin de sécurité

Vulnérabilité dans le service LSASS

• Type de mise à jour : Important

Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement dans Microsoft Windows. Cette vulnérabilité pourrait permettre un déni de service si un attaquant à distance authentifié envoyait un message ISAKMP spécialement conçu en communiquant via IPsec (Internet Protocol Security) au service LSASS (Local Security Authority Subsystem Service) sur un système affecté.

• Voir le bulletin de sécurité

Vulnérabilités dans ADFS

• Type de mise à jour : Important

Cette mise à jour de sécurité corrige deux vulnérabilités signalées confidentiellement dans Microsoft Windows. La plus grave de ces vulnérabilités pourrait permettre l'exécution de code à distance si un attaquant envoyait une requête HTTP spécialement conçue à un serveur Web avec ADFS activé. Pour exploiter l'une de ces vulnérabilités, un attaquant devrait être authentifié.

• Voir le bulletin de sécurité

Vulnérabilité dans WordPad et Office

• Type de mise à jour : Important

Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement dans les convertisseurs de texte de Microsoft WordPad et Microsoft Office. Cette vulnérabilité pourrait permettre l'exécution de code à distance si un fichier Word 97 spécialement conçu était ouvert dans WordPad ou dans Microsoft Office Word. Tout attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur.

• Voir le bulletin de sécurité