Patch Tuesday : on commence l'année en douceur

Le par  |  0 commentaire(s)
Pansement

Microsoft débute l'année 2014 avec un Patch Tuesday léger. Des vulnérabilités à combler dans Windows, Word et Dynamics AX mais rien de critique.

Ce premier Patch Tuesday de 2014 était prévu léger et non critique. C'est effectivement le cas. Microsoft livre ses rustines de sécurité via quatre bulletins. Elles visent à combler des vulnérabilités dans Windows, Office et Dynamics AX. Les quatre mises à jour proposées sont jugées importantes et il n'y a donc pas de mise à jour critique.

Microsoft-Patch-Tuesday-Jan-2014La firme de Redmond a néanmoins établi un classement afin d'identifier les mises à jour à déployer en priorité. C'est sur MS14-002 que l'attention doit d'abord se porter afin de corriger une vulnérabilité dans le noyau Windows dont l'exploitation permet une élévation de privilèges.

Sont uniquement concernés Windows XP et Server 2003. De pair avec une vielle faille dans Adobe Reader, la vulnérabilité du noyau Windows a déjà été utilisée dans le cadre d'attaques ciblées et a fait l'objet d'une divulgation publique en novembre.

De par sa nature, cette faille ne peut pas être exploitée à distance. Un attaquant doit être connecté au système avec des informations d'identification valides et exécuter un malware. C'est pourquoi il y a une exploitation avec du phishing ciblé comportant un lien PDF. Si l'utilisateur qui dispose d'une version d'Adobe Reader non à jour clique sur le lien, l'attaquant obtient des droits administrateur sur la machine.

Microsoft profite par ailleurs de MS14-002 pour rappeler une nouvelle fois que le support de Windows XP prend fin le 8 avril 2014. À partir de cette date, Windows XP ne recevra plus de mise à jour de sécurité. De quoi en faire une cible de choix pour les attaques.

Pour les autres mises à jour, il n'y a pas eu de divulgation publique. MS14-001 est la seule à faire état de la possibilité d'une exécution de code à distance via des vulnérabilités dans Word et Office Web Apps. L'attaquant n'a ainsi pas besoin d'avoir déjà un accès sur la machine compromise. Toutes les versions de Word sont concernées, sauf pour Mac.

Avec MS-14-003, les utilisateurs de Windows 7 - la version de Windows la plus populaire - ne sont en outre pas exemptés de Patch Tuesday.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]