En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 20/03/2018
    Mobility Meetings, toutes les solutions mobiles

    Lancement d’un nouveau salon Mobility Meetings, qui aura lieu à Cannes les 20, 21 et…

    en détail En détail...
  • 12/03/2018
    7ème édition de Big Data Paris

    Le congrès Big Data Paris se tiendra les 12 et 13 mars 2018 à Paris…

    en détail En détail...
Appels d'offres en cours
  • Création d'un site e-commerce pour la vente de décorations 3D
    < 480 €
    > En savoir plus
  • Création d'un site E-commerce dans la vente de prêt-à-porter
    < 5 000 €
    > En savoir plus
  • Projet Location / Achat Base de Données
    A déterminer €
    > En savoir plus
Tessi_Cetia_leaderboard

Patch Tuesday de Microsoft : 18 correctifs critiques et importants !

GlobalK_Lean_pave

Microsoft publie d’un coup deux mois de mises à jour après avoir annulé le Patch Tuesday de février. On y trouve 18 bulletins, critiques ou importants. Ivanti nous explique en exclusivité, comme chaque mois, ce qu’il faut en retenir.

Si vous manquez un Patch Tuesday, les choses s’accumulent très rapidement. Les publications de mars le montrent très clairement. Microsoft vient juste de publier deux mois de mises à jour, qui incluent au total 18 bulletins (oui, nous avons bien écrit « bulletins », nous allons y venir), dont 9 de type « Critique », 9 de type « Important », 136 CVE (Common Vulnerabilities and Exposures, failles courantes), 3 de type « Zero Day » et 12 divulgations publiques. Nous avons aussi la divulgation SMB (CVE-2017-0016 dans MS17-012), publiée la semaine précédant le Patch Tuesday de février.  Il y a en outre deux bulletins d’Adobe et deux autres de VMware, dont nous allons parler.

 

Microsoft prévoyait plusieurs choses pour février, et nous allons commencer par examiner cette liste pour voir ce qu’il en est :

  • Fermeture de la divulgation publique SMB : la vulnérabilité CVE-2017-0016 a été résolue dans MS17-012. Cela marque la fin de la vulnérabilité de SMB divulguée la semaine précédant le Patch Tuesday de février.
  • Séparation d’IE des lots de sécurité: on a parlé du fait que Microsoft cherchait à sortir les mises à jour d’Internet Explorer (IE) des lots Sécurité uniquement pour Windows 7 et 8.1… Et bien, c’est fait ! Cela affecte les utilisateurs qui déploient le lot Sécurité uniquement sous Windows 7 et 8.1, ou pour toute autre version antérieure à Windows 10, d’ailleurs.
  • Microsoft devait arrêter de publier des bulletins : étant donné que nous avons 18 bulletins ce mois-ci, nous pensons que Microsoft a renoncé à ce changement, du moins pour le moment.

Passons aux bulletins ! 

Ils sont très nombreux ce mois-ci, alors nous allons parler des plus importants uniquement. Chacun d’entre eux concerne des divulgations publiques ou des attaques « Zero Day », et ils figurent tous sur la liste des priorités d’Ivanti ce mois-ci.

MS17-006 est une mise à jour cumulée pour Internet Explorer.  Elle est marquée comme Critique et résout un total de 12 vulnérabilités, y compris 5 divulgations publiques (CVE-2017-0008, CVE-2017-0037, CVE-2017-0012, CVE-2017-0033, CVE-2017-0154) et un « Zero Day » (CVE-2017-0149).  La vulnérabilité « Zero Day » cible l’utilisateur et pouvait permettre à un pirate d’obtenir les mêmes droits que l’utilisateur connecté.  Le pirate pouvait exploiter cette vulnérabilité en hébergeant des sites Web spécialement conçus ou en tirant parti d’un site Web infecté, via le contenu créé par l’utilisateur victime ou via les publicités.

MS17-007 est une mise à jour cumulée pour le navigateur Edge.  Elle est marquée comme Critique et résout un total de 32 vulnérabilités, y compris 5 vulnérabilités divulguées publiquement (CVE-2017-0065, CVE-2017-0012, CVE-2017-0033, CVE-2017-0069, CVE-2017-0037). Évidemment, le « Zero Day » est le plus grand facteur de risques lorsque l’on définit la priorité des bulletins, mais les vulnérabilités divulguées publiquement sont en fait plus dangereuses, parce qu’elles peuvent offrir suffisamment d’informations à un pirate pour qu’il crée une attaque. La plupart des vulnérabilités ciblent les utilisateurs, ce qui signifie qu’elles sont parfaites pour les attaques par hameçonnage, y compris via du contenu Web conçu à cet effet. N’oubliez pas : une bonne gestion des privilèges peut vous aider à limiter l’impact d’un grand nombre de ces vulnérabilités. Si vous mettez en place un système de gestion des privilèges, le pirate obtient seulement des droits égaux à ceux de l’utilisateur victime et doit acquérir d’autres privilèges pour aller plus loin.

MS17-013 est une mise à jour pour Office, Lync, Skype et Silverlight. Elle est marquée comme Critique et résout un total de 12 vulnérabilités, dont une vulnérabilité divulguée publiquement (CVE-2017-0014) et une vulnérabilité « Zero Day » (CVE-2017-0005). Ce bulletin contient un grand nombre de vulnérabilités qui ciblent l’utilisateur, dont certaines qui permettent d’utiliser le volet Aperçu comme vecteur d’attaque.

MS17-022 est une mise à jour pour Microsoft XML Core Services.  Elle est marquée Important et résout une seule vulnérabilité, mais il s’agit d’un « Zero Day » pouvant autoriser la divulgation d’informations. Dans ce cas, le pirate peut héberger un site Web spécialement conçu, capable d’exploiter la vulnérabilité XML et de permettre à ce pirate de vérifier la présence de fichiers sur le disque. De là, le pirate peut tenter d’autres attaques par exploitation.

Patch Tuesday mars

Les applications tierces

 

Il y a beaucoup d’autres bulletins Microsoft, mais ce sont là les éléments à traiter en priorité. Passons maintenant aux applications tierces : il y a deux bulletins Adobe et deux bulletins VMware ce mois-ci.

Adobe Flash Player, comme on s’y attendait, figure sur la liste. En 2016, un seul Patch Tuesday ne comprenait pas de mise à jour Flash Player.  Comme toujours, il est important de noter qu’il faut mettre à jour Adobe Flash et tous les plug-ins pour IE, Chrome et FireFox, pour vous protéger entièrement des vulnérabilités. Le bulletin du mois, APSB17-07, inclut des correctifs pour 7 vulnérabilités ciblant l’utilisateur, susceptibles de permettre à un pirate de prendre le contrôle du système infecté. Cette mise à jour est marquée comme priorité 1 par Adobe et figure dans notre liste de priorités.

VMware VMSA-2017-0005 est une vulnérabilité critique dans VMware Workstation Fusion and Player.  Cette mise à jour résout une seule vulnérabilité. Il s’agit d’une vulnérabilité d’accès mémoire lors limites, susceptible de permettre l’exécution de code.

 

Mise à jour pour Libre Office, sur la liste de la CIA

 

D’autres fournisseurs ont publié des mises à jour, notamment FileZilla, CCleaner et Libre Office mais, pour le moment, aucune information de sécurité ne les accompagne. Libre Office est particulièrement intéressant, puisqu’il figure sur la liste de la CIA intitulée « Fine Dining list » (élément de la section 7 de Wikileaks) en tant que produit connu pour faciliter le piratage des DLL.  Nous surveillons la liste des fournisseurs de DLL piratables pour repérer les mises à jour publiées pour nous protéger de ce type d’attaque, mais aucune n’a été ajoutée pour le moment.

Patch Tuesday de Microsoft : 18 correctifs critiques et importants !
Notez cet article

Laisser un commentaire

GDPR VS ISO

L’apport de la gestion des accès à privilèges (PAM) à la conformité réglementaire.Une cartographie comparative. Lire le livre blanc

Lire le livre blanc

Sondage

RGPD : ETES-VOUS PRÊT ? Le Règlement Général sur la Protection des Données entre en application le 25 mai 2018.

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
  • EDITO N°18

    La stratégie de l’extincteur Les feuilletons dramatiques de ces derniers mois ont été notamment les…

  • EDITO N°17

    Utopie ou réalité ? Les annonces quotidiennes de l’IT sont souvent à la frontière de…

Témoignages
Juridique
  • Bercy accuse Amazon de déloyauté commerciale avec les vendeurs

    La DGCCRF assigne le géant du commerce américain devant la justice en raison de clauses…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • Expertise - "La méthode CRISP, une solution pour réussir vos projets Big Data", Alianor Sibai, mc2i Groupe

    Seuls 15% des projets Big Data atteindraient la phase d’industrialisation. Les raisons principales de cet échec…

    > En savoir plus...
Etudes/Enquêtes
  • RGPD : 82 % des consommateurs européens prêts à faire valoir leurs nouveaux droits sur les données personnelles

    Un peu plus de 8 consommateurs européens sur 10 ont bien l’intention de faire valoir…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement

Guide de la cybersécurité 2017-2018

banniere_FIC2018_skycrapper
Agenda
livres blancs
Les Livres
Blancs
banniere_FIC2018_skycrapper