Microsoft corrige 56 vulnérabilités différentes... et c'est parfois long

Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

Actualités Microsoft corrige 56 vulnérabilités différentes... et c'est parfois long

Publié le 11 février 2015 à 09:52 par Jérôme G.

Lire sur mobile

Trois mises à jour critiques et six autres importantes afin de combler un total de 56 vulnérabilités dans Windows, Office, Microsoft Server et beaucoup dans Internet Explorer. C'est l'Update Tuesday de Microsoft. La firme de Redmond aura mis plus d'un an à corriger une vulnérabilité JASBUG.

Microsoft ne parle pas de Patch Tuesday mais d'Update Tuesday pour lui donner une connotation plus douce. C'est du pareil au même avec pour ce mois de février neuf mises à jour de sécurité apportant le nécessaire afin de corriger un total de 56 vulnérabilités dans Windows, Office, Internet Explorer et Microsoft Server. Parmi celles-ci, trois sont jugées critiques.

Microsoft-logo Ce contenu confirme l'analyse de Tripwire sur une intégration de davantage de vulnérabilités par bulletin de sécurité. Autre tendance également confirmée, la grosse part prise par Internet Explorer. Pour ce seul navigateur, ce sont 41 vulnérabilités qui sont à corriger avec MS15-009 qui est une mise à jour critique.

Toutes les versions d'Internet Explorer sont concernées pour des vulnérabilités de corruption de mémoire dont une a été divulguée publiquement et ce il y a déjà un petit bout de temps. Néanmoins, il n'y a pas d'exploitation connue pour cette faille touchant IE8 et IE9 et publiée par Zero Day Initiative en décembre après avoir retenu l'information pendant 120 jours (après avoir alerté Microsoft).

Même s'il n'y a pas eu de divulgation publique, une autre vulnérabilité affectant IE9, IE10 et IE11 fait l'objet de tentatives d'exploitation dans des attaques limitées. Le but des attaquants est de contourner le composant de sécurité ASLR (pour la randomisation des adresses mémoire). Cependant, une attaque nécessite une combinaison avec d'autres vulnérabilités.

MS15-010 est la deuxième mise à jour critique qui corrige six vulnérabilités de sécurité affectant toutes les versions de Windows. Une vulnérabilité a été divulguée publiquement par le Project Zero de Google (90 jours après avoir prévenu Microsoft en octobre). Il s'agit de la vulnérabilité que nous avions évoquée dans nos colonnes le mois dernier et concernant la fonction CryptProtectMemory pour le chiffrement de la mémoire. Pour autant, celle-ci n'est pas considérée critique par Microsoft, contrairement à une autre vulnérabilité (non publique) d'exécution de code à distance en rapport avec un bug pour le traitement des polices TrueType.

La troisième et dernière mise à jour critique est MS15-011. Elle corrige une vulnérabilité signalée confidentiellement à Microsoft et affectant toutes les versions de Windows. Elle est de type exécution de code à distance. Avec son petit nom JASBUG, Elle a été découverte et rapportée à Microsoft par JAS Global Advisors en janvier 2014, soit plus d'un an. Une correction de longue haleine car elle touche des composants de base de Windows.

Directeur technique de Qualys, Wolfgang Kandek estime qu'il s'agit d'une vulnérabilité " intéressante " dans les stratégies de groupe de Microsoft. Pour une exploitation, " un attaquant doit convaincre une victime disposant d'un système configuré par domaine de se connecter à un réseau qu'il contrôle ", écrit Microsoft.

Bien qu'affecté, Windows Server 2003 n'a pas droit à une mise à jour. Un correctif aurait été trop invasif pour garantir son bon fonctionnement. Wolfgang Kandek en profite pour rappeler aux entreprises que le support de Windows Server 2003 prend fin en juillet prochain, et plus exactement le 14 juillet 2015.