Patch Tuesday – Janvier 2016

 

Le premier Patch Tuesday de 2016 est petit par son nombre de bulletins mais grand par sa portée et son intensité. En effet, six des neuf bulletins sont classés critiques, y compris ceux concernant le noyau Windows et Office.

De plus, des produits assez importants sont en fin de vie et leur ultime patch est publié aujourd’hui. Microsoft arrête en effet le support de tous les anciens navigateurs de chacune de ses plates-formes et n’assurera plus désormais que le support du navigateur le plus récent sur chaque version du système d’exploitation.

Analyse publiée par Wolfgang Kandek, CTO de Qualys, Inc. dans The Laws of Vulnerabilities

Autrement dit :

  • Internet Explorer 11 pour Windows 7, 2008R2, 8.1, 2012R2, RT et Windows 10
  • La dernière mise à jour pour IE8, 9 et 10 est publiée aujourd’hui dans le bulletin MS16-001 et ne sera plus assurée ensuite
  • Internet Explorer 10 pour Server 2012
  • Internet Explorer 9 pour Vista SP2 et Server 2008
    • Le support de IE7 et IE8 n’est plus assuré.

IE7 et IE8 perdent donc tout support alors que le support de IE9 et IE10 n’est assuré que pour certaines plates-formes propriétaires spécifiques. Le support d’IE devient donc plus facile à assurer pour Microsoft, mais le travail de migration du service informatique va s’alourdir, ce dernier étant chargé d’installer la toute dernière version des navigateurs.

À moyen terme, la plate-forme deviendra certes plus performante et plus fiable, mais, à court terme, il faut s’attendre à des expositions supplémentaires aux vulnérabilités, dans la mesure où les navigateurs propriétaires ne seront plus mis à jour. Microsoft donne plus d’informations sur sa page de support : https://support.microsoft.com/en-us/lifecycle#gp/Microsoft-Internet-Explorer

[su_divider top= »no » divider_color= »#009688″ size= »1″][/su_divider]

Patchs Microsoft

MS16-005 est a patcher très rapidement, du moins pour les utilisateurs sous Vista, Windows 7 ou Server 2008. En effet, sur ces systèmes, CVE-2016-0009 déclenche une exécution de code à distance (RCE), de plus cette vulnérabilité a été divulguée publiquement. Sur les systèmes d’exploitation plus récents, Windows 8 et Windows 10, la faille est non applicable ou juste classée importante.

MS16-004 est notre seconde priorité. Ce bulletin résout six vulnérabilités sous Microsoft Office qui permettent aux pirates d’exécuter du code à distance (RCE). Il est classé « critique » par Microsoft, ce qui est inhabituel pour un bulletin Office. La vulnérabilité classée critique CVE-2016-0010 est présente dans toutes les versions d’Office, de 2007 à 2016, même sous Mac et RT.

Viennent ensuite Internet Explorer (MS16-001) et Microsoft Edge (MS16-002). L’un et l’autre sont classés critiques puisqu’un pirate peut contrôler la machine visée en exploitant le navigateur via une page Web malveillante. Les deux bulletins traitent seulement deux vulnérabilités, ce qui est assez inhabituel, du moins pour Internet Explorer, navigateur pour lequel nous avions pris l’habitude de voir traiter plus de 20 vulnérabilités.

MS16-006, le dernier bulletin critique, concerne Silverlight et corrige une vulnérabilité.

MS16-010 est une vulnérabilité côté serveur dans Microsoft Exchange. Il résout quatre vulnérabilités au sein du module OWA d’Exchange qui peuvent provoquer des fuites d’information et l’exécution de script suite à la visualisation d’un e-mail.

MS16-009 a été ignoré par Microsoft. Apparemment, la publication de ce bulletin a été reportée le temps de procéder à des tests supplémentaires.

[su_divider top= »no » divider_color= »#009688″ size= »1″][/su_divider]

Adobe et Oracle

Adobe publie également ses mises à jour à l’occasion de ce Patch Tuesday et diffuse aujourd’hui APSB16-02 pour Adobe Reader. Cette mise à jour résout des vulnérabilités critiques mais les classe toutes en niveau « 2 » sur l’échelle de l’exploitabilité, c’est-à-dire qu’un patch sera disponible dans les 30 prochains jours. Aucune mise à jour n’est publiée aujourd’hui pour son composant logiciel le plus attaqué, le lecteur Flash. Ou disons plutôt que sa mise à jour de janvier 2016 a été publiée en avance, fin décembre 2015. Intéressez-vous en urgence à APSB16-01 si ce n’est pas encore fait. L’une des vulnérabilités étant attaquée en aveugle, Adobe a été contraint de publier cette mise à jour avant la date prévue.

Quant à Oracle, l’éditeur prévoit de publier ce mois-ci sa mise à jour trimestrielle, en l’occurrence mardi 19 janvier. Restez à l’affût de la nouvelle version de Java et MySQL…

[su_divider top= »no » divider_color= »#009688″ size= »1″][/su_divider]

Dernière minute : l’éditeur Kaspersky, auquel est attribuée la découverte de MS16-006, la vulnérabilité critique qui affecte Silverlight, vient de publier son propre récit de la découverte de cette faille. Plus d’informations sur le post publié sur leur blog. Kaspersky explique clairement que cette vulnérabilité est attaquée en aveugle et qu’il s’agit d’une véritable vulnérabilité 0-day. Vérifiez vos installations pour voir si Silverlight est installé sur vos systèmes et corrigez la faille au plus tôt.

Julien H

Passionné depuis toujours par l'informatique, je transforme ma passion en expertise. J'utilise quotidiennement les outils et systèmes Microsoft. Je ne délaisse pas mon côté ouvert, notamment via l'utilisation des OS Debian et Archlinux. L'infosec m'ouvre les yeux sur les enjeux actuels et futurs de l'IT.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Fermer
Fermer