Patch Tuesday : dernière salve avant les mises à jour cumulatives

La livraison mensuelle de correctifs de sécurité de Microsoft (le fameux Patch Tuesday) comble pas moins de 47 failles présentes dans les logiciels du premier éditeur mondial. Redmond publie au total 14 bulletins de sécurité – les bulletins couvrant la plupart du temps plusieurs failles -, dont 7 sont classés critiques, le niveau le plus élevé qui se traduit normalement par une mise à niveau impérative des logiciels concernés. 10 de ces bulletins peuvent conduire à l’exécution de code à distance, autrement dit à une prise de contrôle du système par un assaillant. De nombreux logiciels Microsoft sont concernés : les navigateurs Internet Explorer et Edge, Windows (dans ses multiples versions), Office, Exchange, Silverlight, l’outil de script VBScript, mais aussi le lecteur Flash sur Windows (Adobe a publié en parallèle des correctifs pour les vulnérabilités en question).

La faille de Detours : 10 ans déjà

Parmi cette moisson de failles, on retrouve notamment une vulnérabilité vieille de 10 ans et touchant un outil de personnalisation de la suite bureautique Office. Dévoilée au cours de l’été et discutée lors de la conférence Black Hat, qui s’est tenue en août, la faille permet de contourner les sécurités de Windows ou d’autres applications de sécurité. Mise au jour voici environ 9 mois par la société enSilo, elle touche un outil de Microsoft baptisé Detours – et offrant des fonctions de personnalisation via l’accrochage de morceaux de programmes (on parle de hooking) – embarqué dans Office donc, mais aussi dans bien d’autres applications.

« Dans l’entreprise – avec Detours intégré dans des milliers de produits, dont Microsoft Office – corriger la vulnérabilité peut demander facilement trois semaines, si ce n’est plus, explique Udi Yavo, le co-fondateur et directeur technique de enSilo, dans les colonnes de ThreatPost. Qui plus est, corriger cette vulnérabilité s’avère complexe car elle nécessite une recompilation de chaque produit concerné. » La société enSilo a publié sur Github un outil permettant de déterminer quels logiciels sont concernés par le bug.

Octobre : des mises à jour cumulatives

Autre point d’attention : les failles des navigateurs Internet Explorer et Edge (bulletins MS16-104 et MS16-105), permettant la prise de contrôle d’un système pour peu que son utilisateur bénéficie des droits administrateur. Découverte par le Français Kafeine et par un chercheur de Trend Micro, la vulnérabilité IE (CVE-2016-3351) est déjà exploitée par au moins deux groupes de hackers. Edge est touché par une vulnérabilité de même nature.

Ce copieux Patch Tuesday sera le dernier pour les utilisateurs de Windows 7, 8.1 et Windows Server versions 2008 et 2012. Dès octobre, Microsoft a prévu d’aligner ces OS sur le régime de Windows 10, à savoir des mises à jour cumulatives. Les entreprises auront deux options. Soit opter pour la mise à jour cumulative globale, un package unique renfermant les améliorations fonctionnelles et les patchs de sécurité. Soit se contenter des mises à jour de sécurité, là aussi réunies au sein d’un package livré chaque mois. Autrement dit, les administrateurs n’auront plus accès à une liste d’updates qu’ils pourront appliquer un par un.

Microsoft justifie ce mouvement par sa volonté de limiter la fragmentation de ses environnements, un phénomène qui est source d’instabilité selon Redmond. Mais des spécialistes de la sécurité redoutent les effets pervers de cette politique. Le peu d’informations que dispense Microsoft sur ses mises à jour cumulatives et l’incapacité de tester les updates individuellement pourrait pousser des entreprises à sauter les mises à niveau proposées par Microsoft. Afin de ne pas risquer des incompatibilités avec des applications critiques. Ce qui, in fine, réduirait la sécurité des environnements informatiques plutôt que de l’améliorer.

Mises à jour de Windows 10 : Microsoft compte sur la bande passante de ses clients

Microsoft Patch Tuesday : plus de 30 vulnérabilités corrigées en août