Patch Tuesday – Décembre 2016

 

Microsoft termine l’année 2016 avec une hausse de 15% du nombre de bulletins

Publié par amol sarwate dans The Laws of Vulnerabilities

Le dernier mois de l’année est pour Microsoft l’occasion de publier 12 nouveaux bulletins de sécurité, 155 au total pour l’année 2016, soit une hausse d’environ 15% par rapport à 2015. Sur les plus de 3 milliards de scans réalisés cette année par Qualys, nous avons constaté une augmentation d’environ 20% du nombre total de vulnérabilités Microsoft. Cette hausse peut s’expliquer par l’augmentation du volume de données à analyser ainsi que par l’augmentation de 15% du nombre de bulletins publiés par Microsoft. Nous ferons un bilan définitif lorsque l’année sera achevée.

Parmi les 12 bulletins de sécurité qui nous intéressent aujourd’hui, dont un concerne Adobe, la moitié sont classés comme critiques et l’autre moitié comme importants. Concernant les navigateurs, la mise à jour d’Internet Explorer MS16-144 vient corriger 3 vulnérabilités (CVE-2016-7282, CVE-2016-7281 et CVE-2016-7202) qui avaient été divulguées publiquement avant la disponibilité du patch de ce mardi.

La vulnérabilité visée par le bulletin MS16-144 est prioritaire à corriger, puisque un attaquant pourrait prendre le plein contrôle de la machine ciblée. La mise à jour MS16-145 pour Edge résout 3 autres vulnérabilités (CVE-2016-7206, CVE-2016-7282 et CVE-2016-7281) qui ont aussi été divulguées publiquement avant la diffusion du correctif. Le problème d’exécution de code à distance (RCE) peut être exploité si la victime ouvre une page Web malveillante.

Le bulletin Microsoft Office MS16-148 est également critique car il concerne une exécution de code à distance qui peut compromettre les victimes sans aucune interaction de l’utilisateur à cause du volet de lecture. Ceci se produit généralement lorsque le volet de lecture Outlook tente de restituer le contenu d’un courrier électronique après réception d’un mail malveillant. En outre un utilisateur qui ouvre des pièces jointes Office malveillantes constitue un autre scénario d’attaque.

Les bulletins de sécurité MS16-146 et MS16-147 concernent les bibliothèques graphiques et Uniscribe. Les vulnérabilités qu’ils traitent peuvent être compromises si des utilisateurs se rendent sur un site Web malveillant hébergé par un attaquant. Les deux problèmes sont classés comme critiques car ils donnent un contrôle total à l’attaquant qui a réussi un exploit.

Les autres bulletins de décembre sont classés comme importants car les problèmes qu’ils traitent peuvent entraîner des divulgations d’information ou une élévation de privilèges si l’attaquant dispose
déjà de certificats valides.

Julien H

Passionné depuis toujours par l'informatique, je transforme ma passion en expertise. J'utilise quotidiennement les outils et systèmes Microsoft. Je ne délaisse pas mon côté ouvert, notamment via l'utilisation des OS Debian et Archlinux. L'infosec m'ouvre les yeux sur les enjeux actuels et futurs de l'IT.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Close
Close