Vidéo: Deploy Microsoft Patches in SCCM Step by Step (Novembre 2024)
Il s’agit d’une trio de correctifs logiciels, Microsoft, Adobe et Oracle publiant tous des mises à jour de sécurité le même jour.
Comme prévu, Microsoft a commencé l'année 2014 avec une version relativement légère de Patch Tuesday, corrigeant six vulnérabilités peu critiques sur quatre bulletins de sécurité. Le même jour, Adobe a publié deux mises à jour critiques corrigeant trois failles critiques d'exécution de code à distance dans Adobe Reader, Acrobat et Flash. Un problème de planification a fait que la mise à jour critique de correctifs trimestrielle d’Oracle est également tombée le même mardi, ce qui a entraîné un volume énorme de correctifs pour les administrateurs informatiques. Oracle a corrigé 144 vulnérabilités sur 40 produits, notamment Java, MySQL, VirtualBox et sa base de données Oracle phare.
"Bien que Microsoft ne publie que quatre mises à jour, les administrateurs d’Adobe et Oracle ont beaucoup de travail, a déclaré Wolfgang Kandek, CTO de Qualys.
Les correctifs Java d'Oracle devraient avoir la priorité la plus élevée, suivis des avis Adobe Reader et Flash, puis des mises à jour Microsoft Word et XP, ont déclaré des experts.
Oracle prend Java
Même en tenant compte des correctifs trimestriels d’Oracle et de la correction de plusieurs produits, ce processeur reste un record en ce qui concerne le nombre de problèmes résolus. Parmi les 144 failles de sécurité, 82 pourraient être considérées comme critiques car elles pourraient être exploitées à distance sans authentification.
La majorité des vulnérabilités corrigées dans le processeur gigantesque d'Oracle se trouvaient dans Java v7. Oracle a corrigé 34 failles d’exécution à distance, dont plusieurs sur 10 dans l’échelle Common Vulnerability Scoring System. CVSS indique la gravité de la faille et la probabilité que l'attaquant acquière le contrôle total du système.
Java était l'un des logiciels les plus attaqués en 2013 et les experts ont averti qu'il continuerait d'être une cible populaire. Si vous ne l'utilisez pas, désinstallez-le. Si vous avez besoin d'installer Java, désactivez-le au moins dans le navigateur Web, car toutes les attaques jusqu'à présent ont attaqué le navigateur. Si vous accédez aux applications Web nécessitant Java, conservez-le dans un navigateur Web différent de celui par défaut et changez-le si nécessaire. Si vous n'en avez pas besoin, ne le gardez pas. Si vous le gardez, patchez immédiatement.
Oracle a également corrigé cinq failles de sécurité dans sa propre base de données Oracle, dont une pouvant être exploitée à distance, ainsi que 18 vulnérabilités dans MySQL. Trois de ces bogues pouvaient être attaqués à distance et avaient le score CVSS maximum de 10. Le logiciel serveur Solaris présentait 11 failles, dont une pouvant être attaquée à distance. Le bogue Solaris le plus grave avait un score CVSS de 7, 2. La CPU résolvait neuf problèmes dans Oracle Virtualization Software, qui inclut le logiciel de virtualisation VirtualBox, dont quatre pourraient être déclenchés à distance. Le score maximum de CVSS était de 6, 2.
Si vous utilisez l'un de ces produits, il est important de les mettre à jour immédiatement. MySQL est largement utilisé en tant que système back-end pour un certain nombre de logiciels populaires de CMS et de forum, notamment WordPress et phpBB.
Corrections Reader et Flash
Adobe a corrigé des problèmes de sécurité dans Adobe Flash, Acrobat et Reader, qui, s’ils étaient exploités, donneraient aux attaquants le contrôle total du système cible. Le vecteur d’attaque pour le bogue Acrobat and Reader était un fichier PDF illicite. La faille de Flash pourrait être exploitée en visitant des pages Web malveillantes ou en ouvrant des documents avec des objets Flash incorporés.
Si les mises à jour en arrière-plan sont activées pour les produits Adobe, elles devraient être transparentes. Les utilisateurs de Google Chrome et d'Internet Explorer 10 et 11 n'auront pas à s'inquiéter de la nouvelle version de Flash car les navigateurs mettront le logiciel à jour automatiquement.
Mise à jour Microsoft légère
Microsoft a corrigé une vulnérabilité de format de fichier dans Microsoft Word (MS14-001) qui pourrait être exploitée à distance si l'utilisateur ouvrait un fichier Word piégé. Il affecte toutes les versions de Microsoft Word sous Windows, y compris Office 2003, 2007, 2010 et 2013, ainsi que les visualiseurs de documents Word. Les utilisateurs de Mac OS X ne sont pas affectés.
La vulnérabilité de jour zéro (CVE-2013-5065) affectant les systèmes Windows XP et Server 2003 découverte à l’état sauvage en novembre dernier a finalement été corrigée (MS14-002). Bien que la vulnérabilité d'élévation de privilèges dans NDProxy ne puisse pas être exécutée à distance, elle doit être prioritaire, car elle peut être combinée à d'autres vulnérabilités. Les attaques de novembre ont utilisé un document PDF illicite pour déclencher une faille dans Adobe Reader (corrigé en mai 2013 dans APSB13-15) afin d'accéder au bogue du noyau Windows. Microsoft a corrigé une faille similaire d'élévation de privilèges dans Windows 7 et Server 2008 (MS14-003).
"Si vous êtes inquiet à propos de 002 et non de 003, vous aurez probablement des problèmes en avril, lorsque la prise en charge de Windows XP cessera, " a déclaré Rapid7.
En soi, ces vulnérabilités ne sont peut-être pas critiques, mais combinées, elles peuvent être beaucoup plus graves, a averti Trustwave. Si une campagne utilisant un code exécuté par un document Office malveillant et ciblant le bogue d'élévation de privilèges, "un courrier électronique de phishing destiné à un utilisateur non averti suffirait", a déclaré l'équipe.
