Patch Tuesday : IE, Edge, Windows Server et Office colmatés
Le Patch Tuesday du mois de juin comprend 16 bulletins de sécurité dont 5 critiques. IE, Edge, Windows Server et Office sont les premiers concernés.
A l’occasion du Patch Tuesday de juin, Microsoft a publié 16 bulletins de sécurité corrigeant 44 vulnérabilités concernant Windows, Exchange Server, Office, Edge et Internet Explorer. Selement 5 de ces bulletins sont classés comme critiques et les 11 restants sont considérés comme importants. En à peine six mois, l’éditeur a mis en avant 81 bulletins de sécurité. Les projections de 160 bulletins pour l’année 2016 s’annoncent comme un record.
Pour ce mois-ci, les experts en sécurité alertent sur la mise en œuvre rapide du correctif MS16-071 qui implique une faille dans le serveur DNS de Microsoft pour Windows Server 2012 et 2012 R2. Un attaquant peut envoyer une requête spécifique à ce serveur DNS et exécuter du code de manière arbitraire, souligne la firme de Redmond. « Les entreprises qui exécutent leurs serveurs DNS sur la même machine que le serveur Active Directory, doivent être doublement conscientes du danger provoqué par cette vulnérabilité », constate Wolfgang Kandek, CTO de Qualys dans son analyse du Patch Tuesday.
Un autre bulletin critique, MS16-070, concerne Office où un pirate peut déclencher un exploit, référencé CVE-2016-0025, en envoyant simplement un fichier RTF pour Word à un utilisateur. Il pourrait ainsi exécuter du code arbitraire et prendre le contrôle du système si l’utilisateur a ouvert une session avec les droits administrateurs. Microsoft concède que le volet de visualisation est un vecteur d’attaque et que la vulnérabilité peut être déclenchée par un simple e-mail sans interaction de l’utilisateur.
Les navigateurs Edge et IE aussi corrigés
Les navigateurs Edge et Internet Explorer ne sont pas épargnés par le Patch Tuesday. Une série de mises à jour cumulatives est préoposée ( MS16-063 pour Internet Explorer, MS16-068 pour Edge et MS16-069 pour JavaScript pour Windows Vista) corrigeant plusieurs vulnérabilités pouvant exécuter du code à distance. Dans le détail, les règles de sécurité liées au contenu ne valident pas correctement certains documents et le moteur JavaScript Chakra a des difficultés de rendu lorsqu’il traite des objets en mémoire. D’autres failles existent dans la façon dont Edge traite les fichiers PDF. Les correctifs pour IE se rapportent à des vulnérabilités de corruption de mémoire, en particulier dans les moteurs comme JScript 9, JScript et VBScript.
Comme indiqué précédemment, les autres bulletins sont classés comme importants. Wolfgang Kandek met l’accent sur le MS16-076 qui corrige une faille dans Windows Netlogon et peut exécuter du code à distance. Il pousse aussi les administrateurs à s’intéresser à deux autres bulletins : le MS16-075 avec un risque d’élévation de privilège sur un composant SMB server et MS16-079 qui colmate une faille dans Exchange.
A lire aussi :
