Une faille 0-day pour Microsoft Word

Le par  |  8 commentaire(s)
Microsoft Office Logo

A peine le Patch Tuesday passé, Microsoft enquête sur une vulnérabilité affectant Word. Les premiers rapports d'exploitation sont tombés mais cela reste très ciblé.

Microsoft Office LogoAu lendemain du Patch Tuesday, le constat peut sembler alarmant, et la société danoise Secunia de parler d'une vulnérabilité " extrêmement critique " affectant Word. A y regarder de plus près, Microsoft  pondère très largement l'inquiétude de Secunia et consorts, précisant que ladite vulnérabilité 0-day est certes actuellement exploitée par des attaquants, mais ne concerne finalement que Microsoft Office Word 2002 SP3 ce qui limite sensiblement le champ d'action des pirates.

Peu de détails pour le moment la concernant, si ce n'est qu'elle est due à une corruption de mémoire présente au niveau du traitement d'un document Word spécialement conçu. Du code arbitraire peut ainsi être injecté sur les systèmes vulnérables, et les pirates de pouvoir se livrer à toutes sortes de fourberies dont la plus visible est pour l'heure la fermeture inopinée de l'application. En attendant la publication d'un correctif, Microsoft préconise pour les utilisateurs éventuellement dans le coeur de cible de cette vulnérabilité, d'ouvrir les documents Word avec la visionneuse 2003.


Le Patch Tuesday passé, les vulnérabilités se dévoilent ?
Reste cependant que l'apparition de cette vulnérabilité (et les premières attaques) le lendemain du Patch Tuesday ne doit probablement rien au hasard. Connaissant bien la politique en matière de sécurité de Microsoft, les pirates s'offrent presqu'un mois " d'exploitation ".
Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #274041
"Reste cependant que l'apparition de cette vulnérabilité (et les premières attaques) le lendemain du Patch Tuesday ne doit probablement rien au hasard. Connaissant bien la politique en matière de sécurité de Microsoft, les pirates s'offrent presqu'un mois " d'exploitation "."


ça ne remet pas en cause le concept du patch tuesday, car microsoft est toujours à temps de diffuser un patch n'importe quand si la faille s'avère etre largement exploitée...

malheureusement microsoft est réticent à publier des maj en dehors du patch tuesday, car ses gros clients perdent du temps et de l'argent à chaque test et déploiement des patchs sur des machines en entreprise

de plus, quand une faille est découverte, microsoft prend du temps pour chercher des failles similaires dans le composant vulnérable afin d'éviter d'avoir à diffuser d'autres patchs pour le meme composant le mois suivant... donc le patch n'est certainement pas pour tout de suite
Le #274221
Bah je préfère qu'ils mettent à dispo leur patch et laisser aux admins système de décider du rythme de mise à jour... Sauf bien sûr si le patch n'est pas vraiment au point.
Le #274291

"ses gros clients perdent du temps et de l'argent à chaque test et déploiement des patchs sur des machines en entreprise"


Les "gros clients", ils ont un service informatique pour effectuer ce travail non ?
Le #274721
"Les "gros clients", ils ont un service informatique pour effectuer ce travail non ?"

évidemment que c'est pas les sécretaires qui testent et déploient les patchs!
mais les services informatiques ont d'autres choses à faire le reste du mois que de déployer les patchs... et ils aiment savoir à l'avance quand il y aura des patchs à installer (et surtout ils aiment qu'il y en ait le moins possible)
Le #274751
@link83:

Les "gros" clients, ils désactivent les MAJ auto pour les installer quand eux le veulent (et les ont validé sur les différentes configuration, notamment pour les logiciels spécifiques), voir installent leur propre serveur de MAJ windows update.

Le principe du "Patch Tuesday" est une aberration niveau sécurité.

Un patch devrait être disponible via 2 "vagues" successives:
- le plus rapidement possible, pour combler la faille (sans trop de tests, à chacun de les valider ou non si ils veulent les installer dès que possible)
- un peu plus tard, une fois quelques tests validés pour éviter la plupart des problèmes (ce qui dispense pas de devoir les valider, mais évite la plupart des problèmes)

Mais le sortir que le x mardi de tel mois, les jours de pleine lune ou quand la marée est basse, c'est vraiment absurde.

Le #274911
"Les "gros" clients, ils désactivent les MAJ auto pour les installer quand eux le veulent (et les ont validé sur les différentes configuration, "

ils les installent pas manuellement sur chaque poste!

"notamment pour les logiciels spécifiques), voir installent leur propre serveur de MAJ windows update."

oui, WSUS est installé sur les serveurs de toutes les grands et moyennes entreprises qui ont un service informatique digne de ce nom!



"le plus rapidement possible, pour combler la faille (sans trop de tests, à chacun de les valider ou non si ils veulent les installer dès que possible)"

un patch en version beta avant le patch définitif?
très mauvaise idée...
c'est déjà extremement compliqué pour microsoft d'assumer le support de plusieurs versions de windows dans une centaine de langues différentes, alors si il faut en plus gérer le support technique des patch en version beta...

de toutes façons la sécurité est souvent moins importante que la productivité en entreprise
donc aucun service informatique ne se risquerait à déployer les patchs en version beta

quand il y a des failles non corrigées et déjà exploitées microsoft donne toujours des conseils pour contourner la faille en attendant un correctif (desactivation de certains controles activex via une police de groupe, insertion d'une clef dans le registre,...)
dans un sens ça peut etre vu comme des patch beta qu'il faut appliquer soi meme

"Mais le sortir que le x mardi de tel mois, les jours de pleine lune ou quand la marée est basse, c'est vraiment absurde."

non c'est ce qu'il y a de mieux niveau sécurité, pour les failles qui ne sont pas encore exploitées

le but est que tout le monde s'attende à l'arrivée des correctifs, et quand les correctifs sont là, que tout le monde puisse les installer avant que les hackers ne les analyse pour découvrir un moyen d'exploiter les failles qui ont fait l'object d'un correctif

si les entreprises ne sont pas prévenues à l'avance qu'il y aura des patch tel jour, elles risquent de planifier d'autres opérations ce jour là qui rendront impossible l'installation immédiate des patch (ex: déploiement d'une nouvelle application, il est préférable dans ce cas que les patchs ne viennent pas interferer, car en cas de bug on ne peut pas facilement savoir si ça vient du patch ou de l'application nouvellement déployée)
Le #274951
@link83 "ils les installent pas manuellement sur chaque poste!"

Ou t'as vu que je parlais de "manuellement" ? J'ai juste parlé d'installation. C'est quand même évident qu'il n'y a pas un gars qui va s'amuser à se taper des centaines d'installation manuellement pour chaque correctif....


"un patch en version beta avant le patch définitif?"

Non, j'ai pas parlé de "béta", mais d'un bien correctif fonctionnel, mais n'ayant pas été testé complétement sur les "a coté"

Y'a une faille, çà la corrige, mais sans test, pour ceux pour qui ça serait urgent (et à eux de tester si, suivant leur cas, y'a pas de problèmes annexes)

Et ensuite, après des tests plus poussés, on le valide pour le déploiement à grande échelle.

Mais dans les deux cas, une entreprise ne va pas le déployer automatiquement, elle va le valider elle même avant.

"non c'est ce qu'il y a de mieux niveau sécurité, pour les failles qui ne sont pas encore exploitées"

Heu, on parle d'une faille 0-day déja exploité la hein....

"si les entreprises ne sont pas prévenues à l'avance qu'il y aura des patch tel jour, elles risquent de planifier d'autres opérations ce jour là qui rendront impossible l'installation immédiate des patch"

Peu importe le jour de sortie des correctifs, une entreprise va jamais la déployer le jour de sa sortie...
Elle va justement le tester sur des machines de tests et valider ou non son déploiement le jour qu'elle aura décidé.

Et cela peut importe le jour de sortie. La seule différence c'est que d'un coté, y'a plus de jours non corrigé (car sans correctif de disponible, on attend un date fixe pour le diffuser aux professionnels et donc forcement, y'a ce délai qui s'ajoute à celui des tests avant le déploiement en interne) et de l'autre, y'a uniquement le délai des tests.



Le #275021
Chitzitoune >le une fois par mois évite de publier un patch, que les entreprises le test, le déploie pour apprendre qu'un autre patch est sortie le lendemain. En proposant une grosse mise à jour par mois ça leur permet de tester un ensemble de patch une fois par mois tout en restant protégé entre les mise à jour (faille publié que lors de la sortie du patch dans la majeur partie des cas).

Comme l'a dit link83, en cas de réel gros souci (exploitation massive de la faille), ce qui ne semble pas le cas, MS publiera un patch entre temps du fait que de toute façon la faille est déjà connue.

Je rappel quand même que c'était une demande émanant des entreprises et de personnes qui étaient confrontées aux problèmes de sécu au quotidient, donc il y a peu de chance que le pour/contre n'a pas été longement pesé/évalué.
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]