Patch Tuesday – Septembre 2016

 

Publié par amol sarwate dans The Laws of Vulnerabilities

Le Patch Tuesday de septembre 2016 est pour Microsoft l’occasion de publier 14 bulletins de sécurité destinés à tout un éventail de composants : systèmes d’exploitation bureautiques, navigateurs, serveur Exchange, Silverlight, SMBv1 et plusieurs autres composants. Cette mise à jour d’envergure devrait occuper les administrateurs de postes de travail et de serveurs avec 7 vulnérabilités classées critiques et 7 autres comme importantes. Déjà divulguée publiquement, la vulnérabilité 0-Day CVE-2016-3352 est aussi corrigée dans le bulletin MS16-110.

Du côté des postes de travail…

Priorité absolue aux navigateurs et à Microsoft Office. À noter la mise à jour de sécurité cumulative pour Internet Explorer (MS16-104) qui concerne les versions 9 à 11 d’IE et la mise à jour de sécurité cumulative pour Microsoft Edge (MS16-105) uniquement destinée aux plates-formes Windows 10. Un attaquant peut inciter des utilisateurs à cliquer sur des liens malveillants depuis un navigateur compromis afin de prendre le contrôle total de la machine ciblée. La mise à jour de sécurité pour Microsoft Office (MS16-107) rentre aussi dans cette catégorie et empêche que des attaquants prennent le contrôle complet de la machine ciblée via le composant Click-to-run et en exploitant la manière dont les objets Office sont gérés en mémoire. MS16-106 protège Windows Vista, Windows 7, 8.1 et 10 contre un risque d’exécution de code à distance en cas de visite d’un site Web malveillant ou d’ouverture d’un document spécifiquement conçu pour nuire.

La priorité suivante est le bulletin Silverlight (MS16-109). La vulnérabilité qu’il traite pourrait faciliter l’exécution de code à distance suite au passage sur un site Web compromis qui héberge une application Silverlight malveillante. MS16-116 concerne le moteur de script VBScript et protège contre l’exécution de code à distance si un attaquant parvient à convaincre l’utilisateur d’un système ciblé de visiter un site Web malveillant ou compromis.

…et des serveurs

Les administrateurs de serveurs Exchange devraient se consacrer au bulletin MS16-108 qui résout une exécution de code à distance au sein de certaines bibliothèques Outside In d’Oracle intégrées au serveur Exchange. Pour ce faire, un attaquant doit envoyer un email avec une pièce jointe malveillante à un serveur Exchange vulnérable. En l’absence de Patch, il y a un risque de prise de contrôle total du serveur.

Microsoft Office (MS16-107) traite les versions 2007, 2010 et 2013 de Microsoft SharePoint Server qui peuvent être attaquées pour prendre pleinement le contrôle du serveur via le service d’automatisation pour Word et Excel sur SharePoint Server.

Le bulletin MS16-106 concerne les versions Windows Server 2008 et 2012 ainsi que leurs homologues R2 en raison d’un risque de prise de contrôle total du système serveur. Les administrateurs de serveur devraient également s’intéresser au bulletin MS16-110. En effet, ce dernier s’applique à Server 2008 et 2012 car des attaquants disposant d’un compte utilisateur d’un domaine peuvent créer une requête malveillante entraînant l’exécution par Windows de code arbitraire avec des permissions élevées.

Julien H

Passionné depuis toujours par l'informatique, je transforme ma passion en expertise. J'utilise quotidiennement les outils et systèmes Microsoft. Je ne délaisse pas mon côté ouvert, notamment via l'utilisation des OS Debian et Archlinux. L'infosec m'ouvre les yeux sur les enjeux actuels et futurs de l'IT.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Close
Close