Vidéo: IE Zero Day Emergency Patch, Windows Sandbox, New ThinScale Product & More | Dec 20th 2018 (Novembre 2024)
Microsoft a publié cinq correctifs - deux jugés «critiques» et trois «importants» - corrigeant 23 vulnérabilités dans Internet Explorer, Microsoft Windows et Silverlight dans le cadre de la mise à jour du correctif mardi de mars. Le correctif IE a également fermé la vulnérabilité de jour zéro exploitée depuis février.
Les attaquants ont exploité la vulnérabilité critique du jour zéro (CVE-2014-0322) dans Internet Explorer 10 le mois dernier dans le cadre de Operation SnowMan, qui compromet le site Web appartenant à l'US Veterans of Foreign Wars, ainsi que dans le cadre d'une autre attaque imitant un personnage français. fabricant aérospatial. Le correctif IE (MS14-022) corrige cette faille ainsi que 17 autres, dont une qui a été utilisée dans des attaques ciblées limitées contre Internet Explorer 8 (CVE-2014-0324), Dustin Childs, responsable du groupe chez Microsoft Trustworthy Computing., a écrit sur le blog de Microsoft Security Response Center.
"De toute évidence, la mise à jour d'Internet Explorer devrait être votre priorité absolue", a déclaré Childs.
Problèmes avec Silverlight
L'autre correctif critique corrige une faille critique dans l'exécution de code à distance dans DirectShow et affecte plusieurs versions de Windows. La vulnérabilité réside dans la manière dont DirectShow analyse les images JPEG, ce qui laisse supposer que des attaques exploitant cette vulnérabilité introduiront des images malveillantes dans des pages Web compromises ou dans des documents, a déclaré Marc Maiffret, CTO de BeyondTrust. Il est à noter que ces attaques ont moins d'impact sur les utilisateurs exécutant des privilèges non-administrateur, car l'attaquant sera limité dans les dommages qu'il peut causer.
La fonctionnalité de sécurité contournée dans Silverlight est considérée comme "importante", mais doit également être prioritaire. Les pirates peuvent exploiter cette faille en dirigeant les utilisateurs vers un site malveillant contenant du contenu Silverlight spécialement conçu, a déclaré Microsoft. Ce qui est dangereux, c’est que les attaquants puissent contourner ASLR et DEP, deux technologies de protection contre les exploitations intégrées à Windows en exploitant cette vulnérabilité, a averti Maiffret. Un attaquant aurait besoin d'un exploit secondaire pour exécuter le code à distance après avoir contourné ASLR et DEP pour prendre le contrôle du système, tel que la faille de contournement ASLR corrigée en décembre (MS13-106). Bien qu'il n'y ait actuellement aucune attaque exploitant cette vulnérabilité à l'état sauvage, les utilisateurs devraient empêcher Silverlight de s'exécuter dans Internet Explorer, Firefox et Chrome jusqu'à ce que le correctif soit appliqué, a déclaré Maiffret. Il est également important de s’assurer que les anciens correctifs ont également été déployés.
Microsoft devrait abandonner Silverlight car "il voit beaucoup de correctifs, vu son adoption limitée", a suggéré Tyler Reguly. Etant donné que Microsoft continuera à le prendre en charge d’ici au moins 2021, les organisations devraient commencer à migrer hors de Silverlight afin que "nous puissions tous désinstaller Silverlight et renforcer efficacement la sécurité des systèmes des utilisateurs finaux".
Correctifs Microsoft restants
Un autre correctif qui devrait être appliqué le plus tôt possible est celui qui adresse une paire de vulnérabilités d’élévation de privilèges Windows Kernel Mode Driver (MS14-014) car il affecte toutes les versions de Windows prises en charge (pour ce mois-ci, qui inclut toujours Windows XP). Pour exploiter cette vulnérabilité, l'attaquant "doit disposer d'informations d'identification de connexion valides et pouvoir se connecter localement", a averti Microsoft.
Le correctif final corrige des problèmes liés au protocole SAMR (Security Account Manager Remote) qui permet aux attaquants de forcer brutalement les comptes Active Directory sans se laisser verrouiller le compte. Le correctif corrige cet appel d'API de sorte que Windows verrouille correctement les comptes en cas d'attaque. "Des stratégies de verrouillage des tentatives de mot de passe sont mises en place spécifiquement pour empêcher les tentatives de force brute et permettre à un attaquant malveillant de contourner la stratégie annule totalement la protection qu'il offre", a déclaré Reguly.
Autres mises à jour logicielles
C'est la semaine des mises à jour du système d'exploitation. Apple a publié iOS 7.1 plus tôt cette semaine et Adobe a mis à jour son lecteur Adobe Flash (APSB14-08) afin de fermer deux vulnérabilités aujourd'hui. Les problèmes ne sont pas actuellement exploités dans la nature, a déclaré Adobe.
Apple a corrigé certains problèmes importants dans iOS 7, notamment un problème de signalement d'incident pouvant permettre à un utilisateur local de modifier les autorisations sur des fichiers arbitraires des périphériques concernés, problème de noyau pouvant entraîner une interruption imprévue du système ou l'exécution de code arbitraire dans le noyau. et un bogue qui permettait à un utilisateur non autorisé de contourner les exigences de signature de code sur les périphériques concernés. Apple a également corrigé un bogue qui pourrait permettre à un attaquant d'inciter un utilisateur à télécharger une application malveillante via Enterprise App Download et un autre qui permettait à un fichier de sauvegarde créé de manière malveillante de modifier le système de fichiers iOS.
