Pour ce mois de juillet, Microsoft livre 14 mises à jour de sécurité afin de combler un total de 58 vulnérabilités. Les mises à jour couvrent Windows, Internet Explorer, Office ainsi que Microsoft SQL Server. Quatre d'entre elles sont marquées critiques pour cause d'une exploitation pouvant permettre une exécution de code à distance.

Pour MS15-065 (Internet Explorer), MS15-070 (Office) et MS15-077 (Windows), des vulnérabilités sont activement exploitées dans des attaques. Il y a donc urgence à patcher même si seule la mise à jour MS15-065 est critique parmi celles-ci.

Internet_Explorer_logo MS15-065 corrige 28 vulnérabilités dans Internet Explorer dont CVE-2015-2425 qui comme trois récentes vulnérabilités dans Flash Player a été identifiée dans les documents exfiltrés suite au piratage de la société Hacking Team. Il est à souligner qu'elle n'affecte que la version 11 d'Internet Explorer (la plus récente) et que Microsoft a pu concevoir un patch très rapidement.

MS15-067 est une autre mise à jour critique pour Windows 7, Windows 8 et Windows Server 2012. Elle corrige une vulnérabilité affectant la prise de contrôle à distance de postes Windows (Remote Desktop Protocol). Le service RDP n'est toutefois pas activé par défaut, tandis que le niveau critique vaut essentiellement pour les versions 32 bits de Windows 7 et Windows 8.

Troisième mise à jour critique, MS15-068 est à destination de Windows 8 et 8.1, Windows Server 2012 et 2012 R2. Plus particulièrement, c'est le système de virtualisation Hyper-V qui est concerné et peut être utilisé par un attaquant pour installer des indésirables sur l'invité d'une machine virtuelle. Un attaquant doit cependant avoir des identifiants de connexion valides pour l'invité.

La dernière mise à jour critique est MS15-066. Une vulnérabilité affecte le moteur VBScript dans Windows Server 2003, Windows Server 2008 et Windows Vista. Il est à noter que pour Windows Server 2003, ce Patch Tuesday de juillet sera le dernier. C'est en effet ce 14 juillet que tout support de Microsoft pour Windows Server 2003 a pris fin.

En particulier pour les serveurs connectés à Internet, le recours à Windows Server 2003 est désormais devenu dangereux en matière de sécurité. Il va sans dire que de nouvelles vulnérabilités seront découvertes et exploitées, mais il n'y aura pas de patch.

Source : Microsoft