Pour gérer vos consentements :

Après un problème de démarrage, Microsoft aura finalement attendu le mois d’avril pour tourner la page du traditionnel Patch Tuesday avec son lot de bulletins de sécurité. Adieu donc les formats MSxxx-xxx et bienvenue au système des Security Updates. A chacun, correspond une faille, avec son classement CVE, et un fichier correctif (KB). Les administrateurs peuvent ainsi mieux prioriser les updates de sécurité.

Dotées d’une nouvelle page dédiée, les mises à jour de sécurité portent sur la correction de 45 vulnérabilités susceptibles de déclencher du code à distance, des dénis de service, des élévations de privilèges, le contournement des solutions de sécurité, etc.

La faille zero day dans Office à corriger en urgence

Dans ce lot de correctifs affectant 9 produits Microsoft, la priorité absolue, selon Amol Sawarte, CTO de Qualys, est le patch concernant la faille CVE-2017-0199 touchant Office et WordPad. Cette vulnérabilité zero day découverte par McAfee et FireEye est active depuis le mois de janvier.

L’attaque est de facture classique et démarre par un mail renfermant un document Word. Ce dernier embarque un objet OLE2link (une technologie propriétaire de Microsoft), qui est le réel vecteur de l’attaque. Si la victime utilise Office Protected View – la sandbox de la suite bureautique -, le piratage est tué dans l’œuf. Mais si cette fonctionnalité a été désactivée par l’utilisateur, une requête HTTP est automatiquement exécutée déclenchant le téléchargement d’une application HTML (ou HTA), déguisée en fichier RTF. C’est cette application HTA qui signe la prise de contrôle de la machine Windows ciblée.

Navigateurs IE et Edge en priorité

Les administrateurs se pencheront aussi rapidement sur les rustines concernant les navigateurs IE et Edge. On notera la réparation de 2 failles classées critiques, CVE-2017-0201, CVE-2017-0202, dans IE 9,10 et 11. De son côté, Edge colmate 3 failles critiques( CVE-2017-0093, CVE-2017-0200, CVE-2017-0205), permettant aux attaquants de prendre le contrôle complet du PC.

Toujours dans la liste des mises à jour, l’hyperviseur Hyper-V de Windows souffre de 3 brèches elles aussi critiques (CVE-2017-0162, CVE-2017-0163, CVE-2017-0180). Ces failles donnent à des applications malveillantes virtualisées la possibilité d’exécuter du code sur la VM pilotée par Hyper-V. Ces failles ont notamment été découvertes à l’occasion de la compétition Pwn2own à Vancouver, où une équipe de hackers a réussi à pirater complètement une VM.

59 failles corrigées pour Adobe

Avec 13 failles critiques corrigées, la livraison new look du Patch Tuesday se classe à un niveau moyen par rapport à ses prédécesseurs de 2017. Dans le même temps, Microsoft garde au sein du Security Update son partenariat avec Adobe. L’éditeur d’Acrobat calque les mises à jour de sécurité de ses produits sur l’agenda de Redmond. Ainsi, le mois d’avril affiche 59 failles corrigées dans Flash, Reader et Photoshop, dont 44 classées comme critiques.

Au final, les administrateurs vont être obligés de s’habituer à la nouvelle nomenclature des mises à jour de sécurité. Pour les autres utilisateurs, il n’y a aucun changement, car les updates de sécurité se déploient automatiquement au sein de Windows.

A lire aussi :

Un Patch Tuesday massif après un mois d’absence

En l’absence de Patch Tuesday, Google se paye IE et Edge

Recent Posts

Violation de données : phishing et ransomware au top des menaces

Les attaques informatiques par hameçonnage et ransomwares ont augmenté respectivement de 11 et 6% l'an…

2 jours ago

IBM Think 2021 : IA à tous les étages

IBM fait le plein d'annonces solutions à l'occasion de sa conférence Think 2021. Une édition…

4 jours ago

Jamf, expert Apple, acquiert Wandera 400 M$

Wandera étend les capacités de sécurité "zero trust" mobile/cloud de Jamf, spécialiste des solutions de…

4 jours ago

Tiger Lake : au tour des stations de travail mobiles

Tout juste officialisées, les puces Tiger Lake-H arrivent sur plusieurs stations de travail mobiles Dell…

4 jours ago

Automatisation : Appian met à niveau sa plateforme low code

Appian met à niveau sa plateforme d'automatisation low code. L'accès aux données et le développement…

4 jours ago

Lura : une passerelle API chez la Fondation Linux

Destiné à développer des passerelles API, le framework KrakenD passe sous l'aile de la Fondation…

4 jours ago