Pour gérer vos consentements :

Patch Tuesday : Microsoft corrige enfin Flash et Badlock

Le Patch Tuesday du mois d’avril que vient de publier Microsoft n’a quasiment rien à envier à celui de mars et vaut son pesant de correctifs. Pas moins de 13 bulletins de sécurité, dont 6 classés critiques et le reste important, y corrigent une trentaine de vulnérabilités. Windows, les navigateurs maison (Internet Explorer et Edge) et Office sont principalement concernés.

Microsoft profite de sa livraison mensuelle pour sortie les correctifs de récentes failles zero day, c’est-à-dire de vulnérabilités exploitées avant même d’être connues par l’éditeur. A commencer par la faille Flash dans laquelle s’engouffrent les ransomwares et qu’Adobe a corrigé récemment en amont de Microsoft. Ceux qui n’auraient pas appliqué ce correctif auront tout intérêt à installer le bulletin critique MS16-050, qui corrige le plug-in Flash d’IE10 et 11 et de Edge pour Windows 8.1, RT 8.1, 10, Server 2012, Server 2012 R2.

Important Badlock

L’autre zero day est traité dans le bulletin MS16-047 et s’attache à corriger la faille dite Badlock. Celle-ci a de quoi inquiéter les administrateurs puisqu’elle concerne une brèche touchant Samba, une implémentation Open Source du protocole SMB de Microsoft, et permet une élévation de privilège via une attaque de type homme du milieu (Man-in-the-middle) pour les applications exploitant les protocoles SAMR ou LSAD. De Vista à Server 2012 R2 et 10, toutes les versions de Windows sont concernées. Néanmoins, comme la faille ne touche pas directement le composant SMB, Redmond limite sa dangerosité, et la classe dans la catégorie importante et non critique.

Les trous de sécurité qui affectent IE (MS16-037) et Edge (MS16-038) sont, eux, bien considérés comme critiques. Les vulnérabilités qui touchent les navigateurs présentent en effet des risques d’exécution de code à distance. « C’est la première fois qu’Edge contient autant de failles qu’IE et qu’il rencontre des problèmes plus sérieux qu’IE, note Wolfgang Kandek, le directeur technique de Qualys. Aucune de ces vulnérabilités n’est actuellement exploitée, mais comme la plupart des exploits visent les navigateurs, il est légitime de les mettre à jour sans tarder. »

RTF infectieux en aperçu

Parmi les autres correctifs critiques à appliquer le plus rapidement possible, il sera utile de se concentrer sur le bulletin MS16-039 qui corrige un composant graphique de Windows (toutes les versions), Office, .NET, Skype fo Business 2016 et Lync 2013/2010. La faille permet à l’attaquant de lancer du code à distance s’il parvient à faire ouvrir un document ou une page web spécialement conçu à cet effet. Les failles du bulletin MS16-042 sont également à combler au plus vite. Elles affectent Office 2007/2010/2013 et ouvrent la voie à une exécution de code à distance en affichant simplement un document RTF dans le volet d’aperçu d’Outlook. « Renforcez si possible votre configuration en bannissant les e-mails contenant des formats de fichier RTF, conseille Wolfgang Kandek. Vous pouvez également désactiver ces e-mails via la politique de blocage de fichiers d’Office. »

Le bulletin MS16-040 n’est pas à négliger non plus. Il concerne une vulnérabilité propre au sous-système de traitement XML. Et permet d’envoyer un format XML malveillant sur la machine cible après que son utilisateur ait cliqué sur un lien infectieux. « Aucun patch n’a été publié à ce niveau depuis plus d’un an », rappelle le CTO de Qualys. Enfin, bien que classé comme important, le bulletin MS16-045 corrige des brèches de Windows qui pourraient permettre la prise de contrôle à distance d’une machine exécutant Hyper-V. Les environnements n’utilisant pas le système de virtualisation de Microsoft ne sont pas concernés.


Lire également

L’exploitation des vulnérabilités Flash ont explosé en 2015
Faille zero day : des millions de serveurs Linux et 66 % du parc Android exposés
Microsoft cache une bannière pro Windows 10 dans le Patch Tuesday

Recent Posts

Gestion du risque IT : le top 10 des fournisseurs

Qui sont les têtes d'affiche de l'ITRM (gestion du risque IT) et comment leurs offres…

1 heure ago

Orange : qui est Christel Heydemann, la nouvelle directrice générale ?

Christel Heydemann devrait être nommée directrice générale du groupe Orange ce 28 janvier. Retour sur…

4 heures ago

ESN : Inetum reprise par Bain Capital

Le fonds qatari Mannai qui possède 99% du capital d'Inetum est entré en négociation exclusive…

5 heures ago

CircleCI étend son offre gratuite face à GitHub Actions

CircleCI a procédé à un élargissement de son offre gratuite. Comment se positionne-t-elle désormais par…

6 heures ago

Log4j : SolarWinds rattrapé par la faille

On a découvert, dans l'un des logiciels de SolarWinds, une faille susceptible de favoriser des…

8 heures ago

Cloud : 4 points à retenir du rapport Aryaka

Adoption cloud, espace de travail hybride, convergence réseau et cybersécurité… La migration monte en puissance.

3 jours ago