Vidéo: Major Update Fixes 112 Vulnerabilities in Windows 10 (Novembre 2024)
Microsoft a corrigé 29 vulnérabilités dans Internet Explorer et les versions de Windows prises en charge dans le cadre du correctif de juillet, mardi. La part du lion des vulnérabilités corrigées au cours de cette ronde se trouvait dans Internet Explorer.
Sur l'avis de Microsoft publié mardi, parmi les six bulletins de sécurité publiés, seuls deux (Internet Explorer et Windows Journal) sont considérés comme critiques. Trois sont jugés importants et le dernier bulletin n’a qu’une note modérée. Les bulletins du journal IE et du journal Windows traitent tous deux des failles d’exécution de code à distance. Les bulletins importants ont corrigé les failles d'élévation des privilèges dans le clavier à l'écran, le pilote de fonction auxiliaire et DirectShow, et le bulletin Modéré a corrigé un bogue de déni de service dans le bus de service Microsoft.
Microsoft a déclaré n'avoir observé aucune attaque dans la nature ciblant ces failles.
IE Oh mon
Microsoft a corrigé 24 failles dans Internet Explorer (MS14-037), un bogue divulgué publiquement et 23 autres signalés à titre privé. C’est après que Microsoft a corrigé 59 vulnérabilités dans Internet Explorer le mois dernier. Les problèmes sont critiques pour Internet Explorer 6 à Internet Explorer 11 sur des machines Windows, mais modérés sur des serveurs Windows.
Les pirates peuvent exploiter les bogues de l’Internet en incitant les utilisateurs à visiter un site malveillant spécialement conçu. Une fois l'attaque réussie, l'attaquant disposerait des mêmes droits que l'utilisateur compromis. Les utilisateurs avec moins de droits, par exemple non connectés en tant qu'administrateur, seraient moins impactés.
"Il reste à savoir si Microsoft a nettoyé le placard de vulnérabilités d'Internet Explorer pour les prochains mois ou s'il s'agit d'une nouvelle normalité", a déclaré Marc Maiffret, CTO de BeyondTrust.
Logiciel Windows obscur
Le problème avec Windows Journal (MS14-038) pourrait permettre à des attaquants d’exécuter à distance un code malveillant. Le Journal Windows est installé par défaut sur toutes les versions de Windows prises en charge, de Vista à 8.1, mais il n'est pas couramment utilisé. Le Journal Windows peut être utilisé sur des appareils tactiles ainsi que sur des ordinateurs Windows non tactiles pour capturer des notes manuscrites. La vulnérabilité résidait dans la façon dont Windows ouvrait les fichiers enregistrés au format Windows Journal (.jnt).
Le bogue Windows Journal est un "excellent exemple de la façon dont des attaquants peuvent utiliser abusivement des logiciels inutilisés", a déclaré Craig Young, chercheur en sécurité chez Tripwire.
Le journal Windows n'est pas installé sur les versions de Windows Server.
Maiffret recommande de traiter l'extension de fichier comme s'il s'agissait d'un fichier exécutable et de la bloquer sur le Web et les passerelles de messagerie.
S'il existe une raison pour laquelle les deux correctifs critiques ne peuvent pas être installés immédiatement, la désinstallation de Windows Journal et le changement de navigateur Web constituent des solutions de contournement suffisantes. "Bien qu'un correctif soit toujours préféré, limiter la surface d'attaque constitue une bonne sauvegarde", a déclaré Tyler Ranguly, responsable de la recherche sur la sécurité chez Tripwire.
Patchs restants
Les bulletins notaient les bogues corrigés importants découverts lors du concours pwn2own en mars. Les problèmes d’élévation locale des privilèges peuvent être exploités pour donner aux utilisateurs non privilégiés un meilleur accès au système vulnérable. Ils peuvent être utilisés dans des attaques en chaîne pour compromettre le système, a suggéré Ross Barrett, responsable de l'ingénierie de la sécurité chez Rapid7. "Compte tenu de la nature de leur divulgation, il faut savoir que vous avez un code d'exploitation", a averti Barrett.
Le bogue du pilote de fonction auxiliaire peut être associé à "quelque chose comme les vulnérabilités d’Internet Explorer de ce mois-ci pour permettre des attaques Web inopinées conduisant à l’exécution de code dans le noyau", a déclaré Maiffret.
