Pour gérer vos consentements :

Après un problème de démarrage, Microsoft aura finalement attendu le mois d’avril pour tourner la page du traditionnel Patch Tuesday avec son lot de bulletins de sécurité. Adieu donc les formats MSxxx-xxx et bienvenue au système des Security Updates. A chacun, correspond une faille, avec son classement CVE, et un fichier correctif (KB). Les administrateurs peuvent ainsi mieux prioriser les updates de sécurité.

Dotées d’une nouvelle page dédiée, les mises à jour de sécurité portent sur la correction de 45 vulnérabilités susceptibles de déclencher du code à distance, des dénis de service, des élévations de privilèges, le contournement des solutions de sécurité, etc.

La faille zero day dans Office à corriger en urgence

Dans ce lot de correctifs affectant 9 produits Microsoft, la priorité absolue, selon Amol Sawarte, CTO de Qualys, est le patch concernant la faille CVE-2017-0199 touchant Office et WordPad. Cette vulnérabilité zero day découverte par McAfee et FireEye est active depuis le mois de janvier.

L’attaque est de facture classique et démarre par un mail renfermant un document Word. Ce dernier embarque un objet OLE2link (une technologie propriétaire de Microsoft), qui est le réel vecteur de l’attaque. Si la victime utilise Office Protected View – la sandbox de la suite bureautique -, le piratage est tué dans l’œuf. Mais si cette fonctionnalité a été désactivée par l’utilisateur, une requête HTTP est automatiquement exécutée déclenchant le téléchargement d’une application HTML (ou HTA), déguisée en fichier RTF. C’est cette application HTA qui signe la prise de contrôle de la machine Windows ciblée.

Navigateurs IE et Edge en priorité

Les administrateurs se pencheront aussi rapidement sur les rustines concernant les navigateurs IE et Edge. On notera la réparation de 2 failles classées critiques, CVE-2017-0201, CVE-2017-0202, dans IE 9,10 et 11. De son côté, Edge colmate 3 failles critiques( CVE-2017-0093, CVE-2017-0200, CVE-2017-0205), permettant aux attaquants de prendre le contrôle complet du PC.

Toujours dans la liste des mises à jour, l’hyperviseur Hyper-V de Windows souffre de 3 brèches elles aussi critiques (CVE-2017-0162, CVE-2017-0163, CVE-2017-0180). Ces failles donnent à des applications malveillantes virtualisées la possibilité d’exécuter du code sur la VM pilotée par Hyper-V. Ces failles ont notamment été découvertes à l’occasion de la compétition Pwn2own à Vancouver, où une équipe de hackers a réussi à pirater complètement une VM.

59 failles corrigées pour Adobe

Avec 13 failles critiques corrigées, la livraison new look du Patch Tuesday se classe à un niveau moyen par rapport à ses prédécesseurs de 2017. Dans le même temps, Microsoft garde au sein du Security Update son partenariat avec Adobe. L’éditeur d’Acrobat calque les mises à jour de sécurité de ses produits sur l’agenda de Redmond. Ainsi, le mois d’avril affiche 59 failles corrigées dans Flash, Reader et Photoshop, dont 44 classées comme critiques.

Au final, les administrateurs vont être obligés de s’habituer à la nouvelle nomenclature des mises à jour de sécurité. Pour les autres utilisateurs, il n’y a aucun changement, car les updates de sécurité se déploient automatiquement au sein de Windows.

A lire aussi :

Un Patch Tuesday massif après un mois d’absence

En l’absence de Patch Tuesday, Google se paye IE et Edge

Recent Posts

Quels impacts de l’IA générative sur le monde de la cybersécurité ? : regards croisés entre Onepoint, Wavestone et Fortinet

Quels sont les impacts immédiats de l'IA générative sur la cybersécurité ? Comment le contexte…

4 heures ago

Des serveurs IA cyberattaqués : le vecteur s’appelle Ray

Un éditeur attire l'attention sur des attaques exploitant l'absence d'autorisation dans une API du framework…

7 heures ago

Amazon débloque la deuxième tranche de son investissement dans Anthropic

Après un premier financement en septembre 2023, Amazon a débloquer le reste de l'enveloppe qu'il…

9 heures ago

Les logiciels libres entrés au SILL au premier trimestre 2024

D'Alpine Linux à XPipe, voic les dernières entrées au SILL (Socle interministériel de logiciels libres).

1 jour ago

Quelques chiffres pour contextualiser le premier livrable du comité de l’IA générative

Le comité de l'IA générative établi en septembre 2023 par le Gouvernement a formulé ses…

1 jour ago

Le DMA, cette entreprise de microgestion des Big Tech

L'UE multiplie les enquêtes et les procédures de non-conformité contre des entreprises soumises au DMA.

1 jour ago