Vidéo: Формат TIFF (Novembre 2024)
Microsoft a annoncé 11 bulletins de sécurité pour la version Patch Tuesday de décembre, corrigeant 24 vulnérabilités de logiciels Microsoft, notamment Microsoft Windows, Internet Explorer, Office et Exchange. Bien que Microsoft n'ait pas corrigé la faille du jour zéro dans XP / Server 2003 découverte en novembre, elle a toutefois résolu le bogue TIFF qui affectait le système de messagerie d'entreprise Windows, Office et Lync.
Cinq des bulletins sont considérés comme "critiques" et les six autres sont considérés comme "importants". Critique dans ce cas signifie que si elle est exploitée, la vulnérabilité permettra à l'attaquant de faire exécuter du code à distance. Important dans ce contexte signifie que cette vulnérabilité pourrait compromettre les données de l'utilisateur ou perturber certains processus. Microsoft recommande que les correctifs critiques soient appliqués immédiatement et les correctifs importants "à la première occasion".
"Comme la dernière tempête tropicale de la saison, Microsoft passe un dernier coup à la sécurité et aux équipes informatiques", a déclaré Ross Barrett, responsable de l'ingénierie de la sécurité chez Rapid7.
Le jour zéro qui a été fixé
Le problème du jour zéro du composant graphique a affecté Windows Vista, Windows Server 2008, Office 2003/2007/2010 et Lync 2010/2013. Cette vulnérabilité peut être exploitée en prévisualisant ou en ouvrant une image TIFF conçue de manière malveillante. Par ailleurs, des attaques actives ciblaient avec succès Office 2010 sur les systèmes XP. Ce bogue a été corrigé dans MS13-096, a déclaré Dustin Childs, un responsable de groupe pour Microsoft Trustworthy Computing.
Les utilisateurs et les administrateurs doivent considérer ce correctif comme une priorité absolue, même s'ils avaient installé le correctif en novembre, a déclaré Paul Henry, analyste de la police scientifique chez Lumension, à SecurityWatch. "Parce que nous savons qu'il n'est pas toujours difficile de persuader les utilisateurs de cliquer, un correctif pour celui-ci est définitivement le bienvenu", a déclaré Henry.
Beaucoup de corrections pour Internet Explorer
Le prochain correctif prioritaire devrait être MS13-097, la mise à jour cumulative pour Internet Explorer. Ce bulletin écrase sept bogues. Bien que ces problèmes ne soient pas actuellement ciblés, de nombreux auteurs de programmes malveillants préfèrent procéder au reverse engineering des correctifs afin de créer de nouveaux exploits. Cela signifie que les utilisateurs qui ne mettent pas à jour IE rapidement peuvent se laisser prendre par l'un de ces exploits.
L'un des bugs corrigés dans le correctif IE affecte toutes les versions d'Internet Explorer prises en charge, a averti Marc Maiffret, CTO de BeyondTrust. "Diffusez ce correctif dès que possible", a-t-il déclaré.
Le bulletin corrigeant un problème dans la bibliothèque d'objets d'exécution de scripts Microsoft (MS13-099) doit également être considéré comme une priorité élevée, car ce composant Windows est distribué avec chaque version du système d'exploitation. Les pirates peuvent exploiter la faille via le navigateur Web en lançant une attaque de type drive-by et inciter l'ordinateur de la victime à exécuter du code malveillant, a averti Maiffret.
Problème lors de la validation de la signature
Microsoft a corrigé le problème lié au mécanisme de validation de signature WinVerifyTrust (MS13-098) présent dans toutes les versions prises en charge de Windows. Les attaquants pourraient profiter de cette faille pour modifier un programme signé sans invalider la signature du programme. Les utilisateurs penseraient que l'exécutable est un programme légitime car il porte une signature légitime alors qu'en réalité, il contenait un code malveillant, a déclaré Maiffret.
Des exploits ciblant cette vulnérabilité ont déjà été observés dans la nature, ce qui fait du déploiement de ce correctif une priorité.
Bug d'échange dans Outlook Web Access
Le bulletin Microsoft Exchange (MS13-105) résout des problèmes liés à Outlook Web Access (OWA) et est lié au composant Outside-In d'Oracle. Ce correctif intervient après que Oracle ait publié une nouvelle version du composant dans sa mise à jour de correctif critique en octobre. Les pirates peuvent exploiter ces problèmes en envoyant un document illicite par courrier électronique. Les attaquants peuvent prendre le contrôle de l’ensemble du serveur de messagerie après avoir incité l’utilisateur à le visualiser, a déclaré Wolfgang Kandek, CTO de Qualys. "Si vous utilisez OWA dans votre configuration, MS13-105 est un correctif important pour votre organisation", a déclaré Kandek.
Corriger Adobe Flash
La société a également publié quatre autres avis, dont l’un a mis à jour Adobe Flash Player dans Internet Explorer. Adobe avait corrigé deux vulnérabilités dans Flash Player 11.9.900.153 et les versions antérieures de Windows et Mac OS X. L'un de ces problèmes est actuellement à l’état sauvage, a déclaré Adobe. Microsoft a publié cet avis car il intègre Flash Player dans la dernière version d'Internet Explorer, à l'instar de ce que Google fait avec son navigateur Chrome.
Un autre avis de Microsoft traitait d’un problème important lié à l’authentification qui affectait les applications ASP.NET. Les développeurs d’applications.NET doivent faire attention à l’avis pour s’assurer que leurs applications ne sont pas touchées.
"Ce sera un mois chargé pour toutes les équipes impliquées ici, heureux de corriger toutes les erreurs", a déclaré Barrett.
