Le Patch Tuesday de février 2008 a été des plus consistants avec la publication de 11 mises à jour de sécurité pour combler pas moins de 17 vulnérabilités. Ces mises à jour ont été présentées dans des bulletins qualifiés de critiques pour six d’entre eux et relatifs à des vulnérabilités de type exécution de code à distance, les cinq autres bulletins étant qualifiés d’importants.

Parmi ces mises à jour, celle qui mérite le plus d’attention et donc une application immédiate, est sans doute celle concernant le navigateur Web très présent en milieu professionnel, Internet Explorer dans ses versions 6 et 7 sous Windows XP et Vista. C’est en fait une mise à jour cumulative destinée à corriger plusieurs vulnérabilités dues à des problèmes de corruption de mémoire lors du traitement de certaines données. Via une page Web spécialement conçue, un attaquant distant peut ainsi causer un déni de service ou compromettre un système non mis à jour.

Mais pour ce deuxième rendez-vous sécuritaire de l’année avec Microsoft, une mise à jour brille par son absence. En effet, rien pour le tableur de la suite bureautique Office. Plutôt surprenant, sachant qu’à la mi-janvier, la firme de Redmond a publié un avis de sécurité pour une vulnérabilité identifiée dans Excel 2000, 2002, 2003 et 2004 pour Mac, en faisant de surcroît état de rapports d’attaques certes ciblées, mais d’attaques tout de même.

Pour la société danoise de sécurité Secunia , cette vulnérabilité est  » extrêmement critique « , soit le niveau maximal atteint sur son échelle de dangerosité. Un problème de débordement de mémoire présent au niveau du traitement des informations d’entête d’un fichier Excel spécialement conçu est ainsi évoqué, avec le risque de compromission du système vulnérable. A défaut d’un correctif en bonne et due forme qui devrait être disponible en mars, la seule arme de lutte actuelle reste la vigilance de l’utilisateur vis-à-vis de fichiers à l’origine suspecte.