Vidéo: 🛑 Stopper l'escroquerie "Alerte critique de Microsoft" (fausse alerte de virus) (Novembre 2024)
Microsoft a corrigé 33 vulnérabilités réparties dans dix bulletins d'Internet Explorer, d'applications Office, de Windows, de framework.NET et de Lync dans le cadre de sa publication de mai Patch Tuesday.
Sur les dix, seuls deux bulletins sont considérés comme "critiques", le plus haut indice de gravité, a déclaré Microsoft dans son avis de notification Patch Tuesday. Les correctifs restants sont jugés «importants», ce qui signifie généralement que les attaquants ne pourraient pas exploiter la vulnérabilité sans la participation de l'utilisateur.
"Même si 10 correctifs couvrant 33 vulnérabilités peuvent sembler un nombre élevé, ce n'est pas une mauvaise nouvelle pour l'informatique", a déclaré Paul Henry, analyste de la sécurité et de la criminalistique à Lumension.
Corrections pour Internet Explorer
Les deux correctifs critiques sont pour Internet Explorer. La grande question de ce mois-ci était de savoir si Microsoft corrigera le jour zéro récemment signalé dans Internet Explorer 8. Microsoft a publié une solution de contournement temporaire la semaine dernière et en a assuré le suivi avec un correctif complet (MS13-038).
"C’est un soulagement de voir que Microsoft a réglé ce problème si rapidement, car il est activement exploité", a déclaré M. Henry.
L'autre correctif IE (MS13-037) est une mise à jour cumulative pour les versions 6, 7, 8, 9 et 10 d'IE. Il corrige 11 vulnérabilités différentes, y compris les vulnérabilités signalées lors du concours Pwn2Own en mars.
"Sur un plan, Microsoft est le meilleur en matière de sécurité", a déclaré à SecurityWatch Ross Barrett, responsable de l'ingénierie de la sécurité chez Rapid7. La société a réagi rapidement en publiant un avertissement au sujet du problème, en proposant une solution de contournement temporaire, puis en corrigeant la faille dans le cadre d'une mise à jour programmée, le tout dans un délai de 11 jours.
Par ailleurs, le fait que Microsoft publie des correctifs critiques pour Internet Explorer pratiquement tous les mois met en évidence ce qui ne va pas avec la manière dont Microsoft traite les correctifs et les logiciels plus anciens, a déclaré Barrett. En revanche, le navigateur Chrome de Google est mis à jour automatiquement à mesure que les correctifs deviennent disponibles, et il n'y a pas d '"ancienne version" du navigateur à craindre. Selon M. Barrett, Microsoft consacre des ressources à la maintenance des anciennes versions et à l’exposition des utilisateurs à des risques.
Autres bulletins à noter
L’autre bulletin concerne une condition de déni de service qui affecte le client et le serveur HTTP sous Windows (MS13-039). Le problème ne concerne que les versions les plus récentes de Windows, en particulier Windows Server 2012. Les attaques exploitant cette vulnérabilité pourraient "potentiellement très perturbantes", car de nombreux services distants et intégrations Active Directory reposent sur http.sys, a déclaré Barrett.
"Toutes les équipes de sécurité informatique doivent être sur le qui-vive, car un exploit va probablement être développé très rapidement. Un exploit réussi pourrait causer un déni de service sur les serveurs affectés, créant ainsi des pannes temporaires", a déclaré Lamar Bailey, directeur de la recherche et du développement en matière de sécurité chez Tripwire.
Microsoft a corrigé des vulnérabilités dans divers produits Office, telles que des bogues d’exécution de code à distance dans Microsoft Lync (anciennement Communicator) (MS13-041), 11 problèmes de corruption de la mémoire dans Publisher (MS13-042) et des bogues dans Microsoft Word et Excel (MS13- 042). La vulnérabilité Lync ne peut être exploitée que si deux utilisateurs d'une session Lync partagent un contenu malveillant. "J'espère qu'aucun de vos utilisateurs n'a de conversation Lync avec quelqu'un qui tente d'attaquer vos systèmes. Dans ce cas, tout devrait bien se passer", a déclaré Henry.
La vulnérabilité d'usurpation d'identité et le contournement de l'authentification dans.NET (MS13-040) n'affectent pas la configuration par défaut. Un autre bulletin traitait des vulnérabilités de divulgation d'informations dans Windows Essentials 2012 (MS13-045). Microsoft a également corrigé trois failles d'élévation des privilèges locales dans les pilotes en mode noyau Windows (MS13-046). Le bogue le plus grave affecte Windows XP et permet aux attaquants d’exécuter des processus dans un contexte élevé.
"Assurez-vous de mettre à jour Internet Explorer (MS13-037 et MS13-038) dès que possible, ainsi que MS13-039 sur des serveurs Web faisant face à Internet, suivis du reste des correctifs", a déclaré Marc Maiffret, CTO de BeyondTrust.
