Vidéo: BUGS & SOLUTIONS PATCH UPDATE 1.8.3 FS 2020 Ne paniquez pas (Novembre 2024)
Cet après-midi, Microsoft a publié huit bulletins de sécurité traitant de 23 vulnérabilités de nombreux services, notamment Windows, Internet Explorer et Exchange. Parmi ceux-ci, trois ont reçu la note la plus élevée de Critical, tandis que les autres ont été marqués comme étant importants.
Pour les utilisateurs cherchant à hiérarchiser leurs correctifs, Microsoft recommande de se concentrer sur MS13-059 et MS13-060. Cela dit, vous devriez tout corriger dès que vous en êtes capable.
Attaques de polices et vulnérabilités IE
Le Bulletin 059 est une mise à jour de sécurité cumulative pour Internet Explorer, qui couvre 11 vulnérabilités révélées de manière privée. "Les vulnérabilités les plus graves pourraient permettre l'exécution de code à distance si un utilisateur affichait une page Web spécialement conçue à l'aide d'Internet Explorer", écrit Microsoft. "Un attaquant qui parviendrait à exploiter la plus grave de ces vulnérabilités pourrait obtenir les mêmes droits que l'utilisateur actuel."
Marc Maiffret, CTO de BeyondTrust, explique: "Seule cette vulnérabilité ne permet pas l'exécution de code, mais serait combinée à une autre vulnérabilité permettant d'obtenir l'exécution de code avec les droits de l'utilisateur."
La mise à jour IE est également remarquable pour l’inclusion d’un correctif à une vulnérabilité utilisée par VUPEN Security lors du concours pwn2own 2013. Voir? Toute cette compétition porte ses fruits.
Le Bulletin 060 se rapporte à une vulnérabilité du processeur de script Unicode, permettant essentiellement aux attaquants d’utiliser le rendu des polices en tant que vecteur d’attaque. Nous avons constaté des problèmes similaires dans la mise à jour Patch Tuesday du mois dernier.
Le directeur technique de Qualys, Wolfgang Kandek, a expliqué à SecurityWatch que "les polices sont dessinées au niveau du noyau, donc si vous pouvez en quelque sorte influencer le dessin des polices et le dépasser". Ce serait, dit Kandek, donner à un attaquant le contrôle de l'ordinateur de la victime.
Bien que limitée à la police Bangali de Windows XP, cette vulnérabilité est particulièrement déconcertante en raison des nombreuses voies d’attaque possibles. "C'est un vecteur d'attaque très alléchant", a déclaré Amol Sarwate, directeur de Qualys Vulnerability Labs. Tout ce qu'un attaquant devrait faire est de diriger la victime vers un document, un courrier électronique ou une page Web malveillante pour exploiter cette vulnérabilité.
Vulnérabilité liée aux échanges critiques
Le troisième bulletin critique concerne l'exécution de code à distance sur les serveurs Microsoft Exchange. Kandek a déclaré à SecurityWatch qu’un attaquant pourrait exploiter ces trois vulnérabilités avec un fichier PDF spécialement créé qui, une fois visualisé - non téléchargé, attaquerait le serveur de messagerie de la victime.
Auparavant, ces vulnérabilités étaient divulguées par Oracle, ce qui rend le composant affecté. Heureusement, aucune exécution n'a encore été constatée dans la nature, mais des problèmes similaires ont été corrigés à plusieurs reprises dans le passé. Maiffret écrit que deux des vulnérabilités "se trouvent dans la fonctionnalité de visualisation de document WebReady, corrigée à plusieurs reprises au cours de la dernière année (MS12-058, MS12-080 et MS13-012). Oracle continue de donner à Microsoft et Exchange une oeil au beurre noir ".
Selon Kandek, "il a été très facile de trouver des vulnérabilités dans ce composant logiciel" et les utilisateurs devraient envisager de désactiver cette fonctionnalité en plus de la correction du logiciel. Cela obligerait les utilisateurs à télécharger les pièces jointes afin de les visualiser, ce qui pourrait être un petit prix à payer pour la sécurité.
La liste de correctifs de ce mois-ci contient quelques autres avantages, notamment une vulnérabilité IPv6, ainsi que des vulnérabilités d'élévation des privilèges, de déni de service et de divulgation d'informations. Pendant que tout le monde commence à appliquer les correctifs, nous nous préparerons pour la prochaine levée d’années de bogues.
