Vidéo: ERREURS Python : Comment les corriger FACILEMENT ? (Novembre 2024)
Microsoft a corrigé 23 vulnérabilités dans cinq bulletins de sécurité dans le cadre de la publication de son correctif de juin, mardi. 19 des bogues corrigés étaient dans Internet Explorer.
Les vulnérabilités de corruption de mémoire affectaient toutes les versions prises en charge des navigateurs Web Internet Explorer exécutés sur tous les systèmes d'exploitation pris en charge, selon l'avis de Microsoft Patch Tuesday. Le bulletin IE (MS13-047) est le seul à avoir été jugé critique ce mois-ci,
tandis que les quatre autres bulletins ont été jugés importants.
Quatre des problèmes concernaient chaque version prise en charge d'IE, suggérant que les attaquants s'attaqueraient probablement à ces vulnérabilités avant d'essayer d'utiliser les autres, a déclaré Marc Maiffret, CTO de BeyondTrust.
"Compte tenu du grand nombre de vulnérabilités corrigées, les attaquants auront pour principal objectif de procéder à une ingénierie inverse et de créer un exploit qui peut être diffusé via une page Web malveillante", a déclaré Wolfgang Kandek, CTO de Qualys.
Mises à jour vers Office, Windows
Un autre bulletin hautement prioritaire a traité des vulnérabilités dans Microsoft Office (MS13-051). La vulnérabilité d'analyse du format graphique PNG dans Office 2003 sous Windows et 2011 sous Mac OS X fait actuellement l'objet d'attaques aléatoires dans le cadre d'attaques limitées, selon Microsoft.
La "seule raison" pour laquelle Microsoft n'a pas qualifié le bulletin Office de critique était en raison du petit nombre de plates-formes concernées, a déclaré Ross Barrett, directeur principal de l'ingénierie de la sécurité chez Rapid7. Les attaquants intéressés à exploiter cette faille utiliseraient une
Document Word piégé.
Les bulletins restants concernaient une vulnérabilité de divulgation d’informations (MS13-048), un problème de déni de service dans la pile TCP / IP (MS13-049) et une vulnérabilité d’escalade de privilèges locale dans Windows Print Spooler (MS13-050), selon Microsoft. Le bogue DoS
affecte les versions les plus récentes de Windows, de Vista à Windows 8 et de Server 2008 à Server 2012. Cette vulnérabilité ne constitue qu'une vulnérabilité locale pour Vista, Windows 7 et Server 2008, mais sous Windows 8 et Server 2012, le bogue peut être exploité sur le réseau..
"Il est surprenant que les versions plus récentes de Windows soient plus sensibles à ce bogue que les versions antérieures", a déclaré Lamar Bailey, directeur de la recherche sur la sécurité chez Tripwire. "Plus récent n'est pas toujours meilleur", a-t-il ajouté.
Microsoft n'a pas fermé la vulnérabilité liée à l'élévation des privilèges dans le noyau révélée par un employé de Google, Tavis Ormandy, plus tôt ce mois-ci dans le cadre de la publication de ce correctif mardi. Un exploit de preuve de concept est déjà disponible, il est donc raisonnable d'assumer "le
underground travaille pour que cette vulnérabilité fasse partie de leur arsenal ", a déclaré Kandek, qui a prédit que le correctif fera partie de la mise à jour de Patch Tuesday en juillet. Barrett ne pensait pas qu'un correctif hors bande soit susceptible de contenir uniquement un bogue du noyau local.
Dans l’ensemble, c’est un correctif assez petit, mais compte tenu de la récente mise à jour d’Apple pour Mac OS X et d’Adobe, les administrateurs seront toujours occupés.
