Microsoft corrige 56 vulnérabilités différentes... et c'est parfois long

Le par  |  9 commentaire(s)
Pansement

Trois mises à jour critiques et six autres importantes afin de combler un total de 56 vulnérabilités dans Windows, Office, Microsoft Server et beaucoup dans Internet Explorer. C'est l'Update Tuesday de Microsoft. La firme de Redmond aura mis plus d'un an à corriger une vulnérabilité JASBUG.

Microsoft ne parle pas de Patch Tuesday mais d'Update Tuesday pour lui donner une connotation plus douce. C'est du pareil au même avec pour ce mois de février neuf mises à jour de sécurité apportant le nécessaire afin de corriger un total de 56 vulnérabilités dans Windows, Office, Internet Explorer et Microsoft Server. Parmi celles-ci, trois sont jugées critiques.

Microsoft-logoCe contenu confirme l'analyse de Tripwire sur une intégration de davantage de vulnérabilités par bulletin de sécurité. Autre tendance également confirmée, la grosse part prise par Internet Explorer. Pour ce seul navigateur, ce sont 41 vulnérabilités qui sont à corriger avec MS15-009 qui est une mise à jour critique.

Toutes les versions d'Internet Explorer sont concernées pour des vulnérabilités de corruption de mémoire dont une a été divulguée publiquement et ce il y a déjà un petit bout de temps. Néanmoins, il n'y a pas d'exploitation connue pour cette faille touchant IE8 et IE9 et publiée par Zero Day Initiative en décembre après avoir retenu l'information pendant 120 jours (après avoir alerté Microsoft).

Même s'il n'y a pas eu de divulgation publique, une autre vulnérabilité affectant IE9, IE10 et IE11 fait l'objet de tentatives d'exploitation dans des attaques limitées. Le but des attaquants est de contourner le composant de sécurité ASLR (pour la randomisation des adresses mémoire). Cependant, une attaque nécessite une combinaison avec d'autres vulnérabilités.

MS15-010 est la deuxième mise à jour critique qui corrige six vulnérabilités de sécurité affectant toutes les versions de Windows. Une vulnérabilité a été divulguée publiquement par le Project Zero de Google (90 jours après avoir prévenu Microsoft en octobre). Il s'agit de la vulnérabilité que nous avions évoquée dans nos colonnes le mois dernier et concernant la fonction CryptProtectMemory pour le chiffrement de la mémoire. Pour autant, celle-ci n'est pas considérée critique par Microsoft, contrairement à une autre vulnérabilité (non publique) d'exécution de code à distance en rapport avec un bug pour le traitement des polices TrueType.

La troisième et dernière mise à jour critique est MS15-011. Elle corrige une vulnérabilité signalée confidentiellement à Microsoft et affectant toutes les versions de Windows. Elle est de type exécution de code à distance. Avec son petit nom JASBUG, Elle a été découverte et rapportée à Microsoft par JAS Global Advisors en janvier 2014, soit plus d'un an. Une correction de longue haleine car elle touche des composants de base de Windows.

Directeur technique de Qualys, Wolfgang Kandek estime qu'il s'agit d'une vulnérabilité " intéressante " dans les stratégies de groupe de Microsoft. Pour une exploitation, " un attaquant doit convaincre une victime disposant d'un système configuré par domaine de se connecter à un réseau qu'il contrôle ", écrit Microsoft.

Bien qu'affecté, Windows Server 2003 n'a pas droit à une mise à jour. Un correctif aurait été trop invasif pour garantir son bon fonctionnement. Wolfgang Kandek en profite pour rappeler aux entreprises que le support de Windows Server 2003 prend fin en juillet prochain, et plus exactement le 14 juillet 2015.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1832357
Toute cette exploitation, cette corruption, cette vulnérabilité, et moi qui suis un privilégié. Quel cruel sentiment d'impuissance face à la turpitude de la bêtise humaine, faut il en rire ou en pleurer ? Après réflexion, je choisi la première option.
Le #1832359
C'est marrant, j'aurai parié ma chemise sur le pseudo qui allait poster en premier et sur la teneur du message ...
Le #1832365
FRANCKYIV a écrit :

C'est marrant, j'aurai parié ma chemise sur le pseudo qui allait poster en premier et sur la teneur du message ...


Sur la teneur, je ne suis pas un lâcheur.
Le #1832382
Bon ok c'est du bon boulot !

Mais plus d'1go de correctifs les gars... Faut penser qu'il y a des campagnes où on ne dépasse pas le 512.
Le #1832387
alucardx77 a écrit :

Bon ok c'est du bon boulot !

Mais plus d'1go de correctifs les gars... Faut penser qu'il y a des campagnes où on ne dépasse pas le 512.


L'ensemble des correctifs font 140Mo chez moi (Win 7 64).
Le #1832395
Etant partenaire Microsoft, un de nos client a eu 3 postes en rade ce matin suite à la mise à jours (des DELL)
J'ai appelé DELL, rien de leur côté,
On a donc dis à nos client de ne pas passer la mise à jour.
Puis testé en parallèle sur une VM à nous, et le problème s'est reproduit !!! (écran noir avant l'authentification)
Je ne trouve pas encore d'info à ce sujet, c'est surement trop tot, mais si quelqu'un à des news je suis preneur.
Le #1832397
69 Mo sur win 8.1 64 bits
Le #1832442
69 mo c'est sûrement par patch... multiplié par 56 houlà....ça craint



loupé, suis sorti en courant
Le #1832489
Après XP, c'est 7, après 7, c'est 8 .......... les patchs plus nombreux, les patchs plus gros... lalala.... comme la chansson: Savez vous planter Windows, à la mode de chez-nous." On dirait bien que XP n'a pas vraiment grand chose à craindre vu que Windows toutes générations est fait de patchs.
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]