C’est un déluge : en quatre bulletins de sécurité bien garnis, Microsoft vient d’annoncer une vingtaine de failles sur la plupart des versions de Windows. Celles-ci vont du relativement bénin (déni de service) au plus critique : l’exécution de code à distance sur les machines victimes.Parmi les failles les plus sérieuses, on retrouve celle du composant RPC (DCOM) de Windows, déjà à l’origine de la prolifération du ver Blaster et de ses variantes. Aujourd’hui, ce composant permettrait non seulement un déni de service, mais aussi la prise de contrôle à distance du PC.Du côté des nouveautés, on découvre une vulnérabilité exploitable à distance chez le service LSASS de Window (accessible via les ports 139 et 445), qui permettrait là aussi de prendre le contrôle du PC sous Windows 2000 et XP.Suivent une liste sans fin de failles diverses dans des coins aussi étonnants que le Winlogon, la gestion du SSL ou de LDAP, la machine DOS virtuelle ou même la gestion du protocole de téléphonie H.323… et bien d’autres !Les correctifs cumulatifs sont bien sûr déjà disponibles et, surtout, impératifs : l’ampleur de certaines de ces failles est telle qu’il ne serait pas très surprenant de voir débarquer une armada de nouveaux vers capables de les exploiter.Enfin, en attendant la mise à jour, il convient de faire à nouveau confiance à son pare-feu : les ports 139 et 445, déjà voies d’accès privilégiées des malveillants grâce à Netbios et RPC, sont de nouveau mis en cause.