Patch Tuesday – Novembre 2016

 

Microsoft corrige une vulnérabilité activement exploitée au sein du noyau et de la police OpenType, ainsi que trois failles de navigateur déjà divulguées et une vulnérabilité dans SQL Server.

Publié par amol sarwate dans The Laws of Vulnerabilities

Microsoft vient de publier 14 bulletins de sécurité avec 6 correctifs de sécurité critiques et 8 importants. L’éditeur a corrigé la vulnérabilité 0-Day CVE-2016-7255 dans le bulletin MS16-135 qui était activement exploitée et avait été divulguée il y a quelques jours par Google sur son blog consacré aux divulgations . Vu le contexte, cette vulnérabilité doit être une priorité absolue pour les entreprises.

La vulnérabilité CVE-2016-7256 au sein de la police OpenType fait également partie du bulletin Microsoft MS16-132 car elle aussi est activement exploitée. Permettant à des attaquants de prendre le contrôle total de la machine d’un utilisateur consultant une page Web malveillante, cette vulnérabilité doit donc aussi être considérée comme critique. Enfin, trois vulnérabilités supplémentaires divulguées avant la disponibilité des patchs ont également été résolues. Affectant les navigateurs IE et Edge, ces trois problèmes ont été respectivement résolus dans les bulletins MS16-142 et MS16-129 (CVE-2016-7227 pour IE et CVE-2016-7199 et CVE-2016-7209 pour Edge). Rien n’indique pour l’instant que ces trois failles déjà divulguées soient activement exploitées.

Le bulletin Microsoft Office MS16-133 contient des correctifs pour 10 vulnérabilités pouvant permettre à des attaquants de prendre le contrôle total d’un système. En plus de ces 10 correctifs, une divulgation d’information ainsi qu’une attaque de type DoS (Denial of Service) pouvant entraîner un crash sont à présent résolues. Les documents Office étant légion dans un environnement d’entreprise classique, j’estime que ce bulletin devrait être une priorité critique même s’il est classé comme « Important ». Trois bulletins critiques concernent Windows, à savoir MS16-130, MS16-131 et MS16-132.

Le bulletin MS16-130 résout des problèmes au sein du Planificateur de tâches de Windows ainsi qu’un problème de chargement de la DLL dans l’éditeur IME (Input Method Editor) et de rendu de fichier image. Le rendu du fichier image est le problème le plus critique car il permet à des attaquants de prendre le plein contrôle de la machine ciblée.

Le bulletin MS16-131 résout un problème au sein du contrôle vidéo permettant lui aussi à des attaquants de prendre le contrôle de la machine d’un utilisateur qu’ils auraient convaincu d’ouvrir un
fichier malveillant ou une application depuis une page Web ou un message électronique.

Quant au bulletin MS16-132, il corrige une vulnérabilité dans une police OpenType exploitable en consultant une page Web malveillante ou en ouvrant un document mal formaté. Les administrateurs Microsoft SQL Server devraient s’intéresser au bulletin MS16-136 qui corrige 6 vulnérabilités au sein du serveur de base de données, de l’API MDS, des services d’analyse SQL et de l’agent SQL Server. Les vulnérabilités concernant le serveur SQL sont relativement rares et même en l’absence d’exécution de code à distance (RCE), les attaquants peuvent obtenir des privilèges élevés pour visualiser, modifier, voire supprimer des données et créer de nouveaux comptes.

En résumé, la vulnérabilité activement exploitée affectant le noyau et la police OpenType, les trois autres failles de navigateur déjà divulguées et le patch pour SQL Server, marquent ce mois de novembre d’une pierre blanche.

 

Julien H

Passionné depuis toujours par l'informatique, je transforme ma passion en expertise. J'utilise quotidiennement les outils et systèmes Microsoft. Je ne délaisse pas mon côté ouvert, notamment via l'utilisation des OS Debian et Archlinux. L'infosec m'ouvre les yeux sur les enjeux actuels et futurs de l'IT.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Fermer
Fermer