5 failles critiques pour le nouveau Patch Tuesday de Microsoft

Sur les 10 bulletins de sécurité publiés par Microsoft dans le cadre de son patch tuesday d’octobre, la moitié sont classés comme « critiques ». Quatre sont considérés comme « importants » et le dernier reste « modéré ». Les navigateurs Internet Explorer et Edge sont concernés, tout comme Office, des composants graphiques et de vidéo, Windows, et le player Flash d’Adobe. Sur ce dernier, profitons-en pour souligner qu’Adobe vient également de publier trois bulletins qui corrigent quelques 84 failles de sécurité de Flash, Acrobat et Creative Cloud.

Revenons à Microsoft et à son nouveau système de mises à jour cumulatives. Celui-ci se décline en correctifs dédiés à la sécurité (security-only update) toujours proposés le deuxième mardi de chaque mois en direction des entreprises (via Windows Server Update Services, ConfigMgr ou Windows Update Catalog). Les particuliers disposent d’une mise à jour à part, via Windows Update, qui contient les correctifs de sécurité du mois ainsi que ceux des précédents. Enfin, le troisième mardi du mois, sont proposées en preview les mises à jour non propres à la sécurité (monthly rollup) que l’on retrouve le mois suivant dans le correctif cumulé. Les entreprises disposent ainsi d’une période de test avant de subir la mise à jour d’applications comme Internet Explorer ou .NET. Une méthodologie pas simple à suivre.

5 failles zero day critiques…

Penchons-nous sur la partie sécurité de la mise à jour du mois. Et particulièrement sur les 5 bulletins critiques qui visent à combler des failles zero day, autrement dit probablement exploitées aujourd’hui. Les deux navigateurs de l’éditeur, IE (MS16-118) et Edge (MS16-119), pourraient ainsi permettre à des attaquants d’exécuter du code à distance et obtenir les droits administrateur du système si l’utilisateur navigue sur une page web taillée pour exploiter la faille. « Ces vulnérabilités sont déjà activement exploitées dans les faits », alerte Amol Sarwate, directeur du Vulnerability Labs de Qualys.

Une autre faille zero day pourrait l’être tout autant. Celle du GDI+ (MS16-120), un composant graphique central exploité par Windows, .NET Framework, Office, Skype for Business, Lync et Silverlight. Là encore, la visite d’une page vérolée ou l’ouverture d’un document piégé peut déclencher l’exécution de code à distance. Néanmoins, celui-ci sera plus ou moins restreint selon les droits utilisateur de la machine victime. Un mode d’attaque et de risque similaire aux fonctions de contrôle vidéo de Windows (MS16-122). Enfin, le bulletin MS16-127 corrige des failles du lecteur Flash pour Windows 10, 8.1 et RT 8.1, comme pour Windows Server 2012 et R2.

… et une faille zero day modérée

Bien que considéré comme modéré, le bulletin MS16-126 corrige également une faille zero day. Elle touche l’API Internet Messaging et permet à un pirate qui l’exploite de tester la présence de fichiers sur la machine victime. « Parce qu’elle est désormais exploitée dans les faits, je considérerais cette faille comme plus élevée car elle peut permettre d’accéder à des informations qui pourraient aider à d’autres attaques », commente Amol Sarwate. Dans tous les cas, les administrateurs systèmes qui appliqueront la mise à jour n’auront d’autre possibilité que de corriger par défaut l’ensemble des failles du bulletin d’octobre, Microsoft ne laissant plus le choix de la mise à jour manuelle pour chaque correctif.

Lire également
Mises à jour : Windows 7, 8.1 et Windows Server s’alignent sur Windows 10
KB3194496 : le remake du jour sans fin à la sauce Windows 10
Microsoft met fin aux problèmes de SSD de Windows 10 Anniversary Update