Patch Tuesday : Colmatage renforcé pour IE et Office

Pour son patch tuesday de juin, Microsoft édite 8 bulletins de sécurité, dont deux critiques. Ce qui portent leur nombre à 63 depuis le début de l’année.

Si avec 8 bulletins de sécurité le Patch Tuesday de juin de Microsoft n’est pas à la hauteur de celui de mai (qui comptait 13 bulletins), il n’en reste pas moins relativement conséquent. Deux bulletins sont classés comme « critiques » tandis que les six autres restent « importants ».

Internet Explorer troué de partout

Le plus critique et urgent à traiter d’entre eux concerne probablement le bulletin MS15-056 consacré à Internet Explorer qui comble 24 failles. De la 6 à la 11, toutes les versions du navigateur de Redmond sont affectées sous les différentes instances de Windows desktop (depuis Vista), Server (depuis 2003) et RT pour les tablettes Surface sous architecture ARM (y compris 8.1) en 32 comme 64 bit. Exploitées, certaines vulnérabilités permettent à l’attaquant d’exécuter du code à distance. Au-delà de son bulletin de sécurité, Microsoft profite de la mise à jour d’IE 11 pour combler l’ensemble de ces brèches pour renforcer la sécurité de son navigateur. De son côté, le CTO de Qualys, Wolfgang Kandek, note que IE est affecté de 20 failles de sécurité en moyenne mensuelle sur ces 12 derniers mois. Le mois de juin se situe donc au-dessus de la moyenne.

Le deuxième bulletin classé comme critique, le MS-057, concerne le lecteur Windows Media qui pourrait autoriser l’exécution de code malveillant à la lecture d’un fichier multimédia et permettre aux attaquants la prise de contrôle distante de la machine selon leurs droits système de l’utilisateur.

Office et Exchange Serveur vecteurs de risques

S’il convient évidemment de corriger ce bug, il sera probablement plus intéressant de se pencher sur le bulletin MS15-059 consacré aux suites Office 2007, 2010, 2013 et 2013 RT. Ces correctifs visent à combler les risques de prises de contrôle à distance dont pourrait être victime une machine dont l’un des logiciels de bureautique aurait ouvert un fichier spécialement conçu pour cela. Bien que classé comme important par Microsoft, l’application du correctif est prioritaire. « Le fait que l’on peut exécuter du code à distance, en regard de la facilité avec laquelle un attaquant peut convaincre la cible d’ouvrir un fichier joint grâce à l’ingénierie sociale en font une vulnérabilité à haut risque », estime Wolfgang Kandek.

Le reste des correctifs de juin vise à combler des risques d’élévation de privilèges dans les contrôles communs de Windows via le menu Développeur d’IE (qu’il suffit alors de désactiver), dans les services de fédération d’Active Directory (ADFS), dans Exchange Server ou encore au niveau du noyau de Windows.

Disparition du bulletin MS15-058

Petite originalité du mois, l’incrémentation des bulletins de sécurité passe du MS15-057 au MS15-059. Le bulletin MS15-058 n’est visiblement pas encore disponible comme en témoigne cette page du site du TechNet de Microsoft qui n’explique pas cette « disparition ». Depuis le début de l’année, Microsoft a édité 63 bulletins de sécurité.

Lire également
Windows 10 signe la fin des Patch Tuesday sauf pour les entreprises
Navigateurs web : project Spartan devient Microsoft Edge
SSH bientôt supporté nativement sous Windows

Lire aussi : AutoDev : GPT-4 en agent autonome de développement logiciel