Vidéo: Corriger les problèmes de Windows Update sous Windows 10 facilement (Novembre 2024)
Microsoft a publié sept bulletins corrigeant 34 bogues uniques dans.NET Framework, le noyau Windows et Internet Explorer dans le cadre du correctif mardi de juillet. Il existe également une nouvelle politique de 180 jours pour le marché Microsoft concernant les applications avec des bogues de sécurité.
Sur les sept bulletins, six sont considérés comme critiques et un comme important, a déclaré Microsoft dans son patch Patch publié mardi après-midi. Microsoft a recommandé d’installer d’abord le bulletin IE (MS13-055), puis l’un des bulletins des pilotes en mode noyau Windows (MS13-053). Les bulletins TrueType et Windows restants se trouvaient dans le groupe de priorité suivant, suivi du seul correctif "important".
«Tout ou partie du monde Microsoft est affecté par un ou plusieurs de ces systèmes. Tous les systèmes d’exploitation pris en charge, toutes les versions de MS Office, Lync, Silverlight, Visual Studio et.NET», a déclaré Ross Barrett, directeur principal de l’ingénierie de la sécurité chez Rapid7.
Windows 8.1 Preview et IE 11 ne sont affectés par aucun de ces bulletins.
Moche, Moche Polices
Trois bulletins distincts (MS13-052, MS13-053 et MS13-054) ont corrigé la vulnérabilité des polices TrueType dans.NET. Ce bogue de police TrueType est similaire à celui exploité par Stuxnet et Duqu, sauf qu'il est présent dans.NET et non dans le noyau Windows, a déclaré Marc Maiffret, CTO de BeyondTrust.
MS13-054 a corrigé la vulnérabilité TrueType dans GDI +, un composant du noyau Windows. La faille affecte plusieurs produits, y compris toutes les versions prises en charge de Windows, Office 2003/2007/2010, Visual Studio.NET 2003 et Lync 2010/2013. Maiffret a prédit que cette faille serait exploitée par des attaquants dans un proche avenir car de nombreux produits utilisent GDI +.
"MS13-053 est le pire du groupe", a déclaré Tommy Chin, ingénieur en support technique chez CORE Security, ajoutant que "c'est de l'exécution de code à distance et de l'élévation des privilèges." Les attaquants peuvent engager l'ingénieur social dans les victimes potentielles pour afficher un fichier spécialement conçu avec un contenu TrueType malveillant. En cas de succès, l'attaquant obtient l'accès d'administrateur au système affecté, a déclaré Chin.
La vulnérabilité du jour zéro dans le noyau Windows découverte par le chercheur en sécurité Tavis Ormandy est également corrigée dans ce Bulletin. Considérant que les exploits pour cette vulnérabilité sont déjà inclus dans des frameworks publics tels que Metasploit, ceci devrait être une priorité élevée
Internet Explorer
La mise à jour massive d'Internet Explorer a résolu 17 vulnérabilités, dont 16 sont des vulnérabilités de corruption de mémoire et une bogue de script intersite. Des failles de corruption de mémoire peuvent être utilisées dans les attaques de type drive-by où les attaquants configurent des pages Web malveillantes et utilisent des tactiques d'ingénierie sociale pour attirer les utilisateurs vers les pages malveillantes. Il y a eu beaucoup de bugs de corruption de mémoire dans Internet Explorer au cours des derniers mardi de correctifs, a déclaré Maiffret, ajoutant: "Il est impératif que ce correctif soit déployé dès que possible."
Modification de la politique du marché Microsoft
Microsoft a également annoncé un changement de stratégie lié au marché Microsoft. En vertu de la nouvelle stratégie, toute application dans l'un des quatre magasins d'applications gérés par Microsoft (Windows Store, Windows Phone Store, Office Store et Azure Marketplace) disposera de 180 jours pour résoudre les problèmes de sécurité. Le calendrier s’applique aux vulnérabilités considérées comme critiques ou importantes et ne fait pas l’objet d’une attaque.
Si l'application n'est pas corrigée dans les délais impartis, l'application sera supprimée du magasin, a déclaré Microsoft. La stratégie s'applique aux applications des développeurs tiers et de Microsoft.
"Microsoft fait un grand pas en avant dans la réduction des applications vulnérables dans ses différents magasins d'applications", a déclaré Craig Young, chercheur en sécurité chez Tripwire.
Toutefois, il convient de noter que 180 jours est une longue période, il est donc très peu probable que Microsoft finisse par tirer une application. Un développeur ne passera probablement pas plus de six mois à réparer une vulnérabilité critique et si la mise à jour prend plus de temps que prévu, Microsoft est disposé à effectuer des exceptions.
Compte tenu de cela, la nouvelle stratégie semble être un moyen pour Microsoft de paraître sévère sans nuire aux développeurs.
Plus d'avance
Ce sera un mois chargé pour les administrateurs. Adobe a publié ses propres mises à jour et Oracle publiera sa mise à jour trimestrielle de tous ses logiciels sauf Java la semaine prochaine.
