En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 06/12/2017
    Paris Open Source Summit

    Paris Open Source Summit, premier événement européen libre et open source, est le fruit de…

    en détail En détail...
  • 15/11/2017
    Cloud Expo Europe Paris 2017

    Cloud Expo Europe, Paris 2017, c'est le grand rassemblement d'experts dédiés au Cloud. Parmi les…

    en détail En détail...
Jalios_Digital Summit 2017_leaderboard

Patch Tuesday de Microsoft : 18 correctifs critiques et importants !

GlobalK_Azure _pave

Microsoft publie d’un coup deux mois de mises à jour après avoir annulé le Patch Tuesday de février. On y trouve 18 bulletins, critiques ou importants. Ivanti nous explique en exclusivité, comme chaque mois, ce qu’il faut en retenir.

Si vous manquez un Patch Tuesday, les choses s’accumulent très rapidement. Les publications de mars le montrent très clairement. Microsoft vient juste de publier deux mois de mises à jour, qui incluent au total 18 bulletins (oui, nous avons bien écrit « bulletins », nous allons y venir), dont 9 de type « Critique », 9 de type « Important », 136 CVE (Common Vulnerabilities and Exposures, failles courantes), 3 de type « Zero Day » et 12 divulgations publiques. Nous avons aussi la divulgation SMB (CVE-2017-0016 dans MS17-012), publiée la semaine précédant le Patch Tuesday de février.  Il y a en outre deux bulletins d’Adobe et deux autres de VMware, dont nous allons parler.

 

Microsoft prévoyait plusieurs choses pour février, et nous allons commencer par examiner cette liste pour voir ce qu’il en est :

  • Fermeture de la divulgation publique SMB : la vulnérabilité CVE-2017-0016 a été résolue dans MS17-012. Cela marque la fin de la vulnérabilité de SMB divulguée la semaine précédant le Patch Tuesday de février.
  • Séparation d’IE des lots de sécurité: on a parlé du fait que Microsoft cherchait à sortir les mises à jour d’Internet Explorer (IE) des lots Sécurité uniquement pour Windows 7 et 8.1… Et bien, c’est fait ! Cela affecte les utilisateurs qui déploient le lot Sécurité uniquement sous Windows 7 et 8.1, ou pour toute autre version antérieure à Windows 10, d’ailleurs.
  • Microsoft devait arrêter de publier des bulletins : étant donné que nous avons 18 bulletins ce mois-ci, nous pensons que Microsoft a renoncé à ce changement, du moins pour le moment.

Passons aux bulletins ! 

Ils sont très nombreux ce mois-ci, alors nous allons parler des plus importants uniquement. Chacun d’entre eux concerne des divulgations publiques ou des attaques « Zero Day », et ils figurent tous sur la liste des priorités d’Ivanti ce mois-ci.

MS17-006 est une mise à jour cumulée pour Internet Explorer.  Elle est marquée comme Critique et résout un total de 12 vulnérabilités, y compris 5 divulgations publiques (CVE-2017-0008, CVE-2017-0037, CVE-2017-0012, CVE-2017-0033, CVE-2017-0154) et un « Zero Day » (CVE-2017-0149).  La vulnérabilité « Zero Day » cible l’utilisateur et pouvait permettre à un pirate d’obtenir les mêmes droits que l’utilisateur connecté.  Le pirate pouvait exploiter cette vulnérabilité en hébergeant des sites Web spécialement conçus ou en tirant parti d’un site Web infecté, via le contenu créé par l’utilisateur victime ou via les publicités.

MS17-007 est une mise à jour cumulée pour le navigateur Edge.  Elle est marquée comme Critique et résout un total de 32 vulnérabilités, y compris 5 vulnérabilités divulguées publiquement (CVE-2017-0065, CVE-2017-0012, CVE-2017-0033, CVE-2017-0069, CVE-2017-0037). Évidemment, le « Zero Day » est le plus grand facteur de risques lorsque l’on définit la priorité des bulletins, mais les vulnérabilités divulguées publiquement sont en fait plus dangereuses, parce qu’elles peuvent offrir suffisamment d’informations à un pirate pour qu’il crée une attaque. La plupart des vulnérabilités ciblent les utilisateurs, ce qui signifie qu’elles sont parfaites pour les attaques par hameçonnage, y compris via du contenu Web conçu à cet effet. N’oubliez pas : une bonne gestion des privilèges peut vous aider à limiter l’impact d’un grand nombre de ces vulnérabilités. Si vous mettez en place un système de gestion des privilèges, le pirate obtient seulement des droits égaux à ceux de l’utilisateur victime et doit acquérir d’autres privilèges pour aller plus loin.

MS17-013 est une mise à jour pour Office, Lync, Skype et Silverlight. Elle est marquée comme Critique et résout un total de 12 vulnérabilités, dont une vulnérabilité divulguée publiquement (CVE-2017-0014) et une vulnérabilité « Zero Day » (CVE-2017-0005). Ce bulletin contient un grand nombre de vulnérabilités qui ciblent l’utilisateur, dont certaines qui permettent d’utiliser le volet Aperçu comme vecteur d’attaque.

MS17-022 est une mise à jour pour Microsoft XML Core Services.  Elle est marquée Important et résout une seule vulnérabilité, mais il s’agit d’un « Zero Day » pouvant autoriser la divulgation d’informations. Dans ce cas, le pirate peut héberger un site Web spécialement conçu, capable d’exploiter la vulnérabilité XML et de permettre à ce pirate de vérifier la présence de fichiers sur le disque. De là, le pirate peut tenter d’autres attaques par exploitation.

Patch Tuesday mars

Les applications tierces

 

Il y a beaucoup d’autres bulletins Microsoft, mais ce sont là les éléments à traiter en priorité. Passons maintenant aux applications tierces : il y a deux bulletins Adobe et deux bulletins VMware ce mois-ci.

Adobe Flash Player, comme on s’y attendait, figure sur la liste. En 2016, un seul Patch Tuesday ne comprenait pas de mise à jour Flash Player.  Comme toujours, il est important de noter qu’il faut mettre à jour Adobe Flash et tous les plug-ins pour IE, Chrome et FireFox, pour vous protéger entièrement des vulnérabilités. Le bulletin du mois, APSB17-07, inclut des correctifs pour 7 vulnérabilités ciblant l’utilisateur, susceptibles de permettre à un pirate de prendre le contrôle du système infecté. Cette mise à jour est marquée comme priorité 1 par Adobe et figure dans notre liste de priorités.

VMware VMSA-2017-0005 est une vulnérabilité critique dans VMware Workstation Fusion and Player.  Cette mise à jour résout une seule vulnérabilité. Il s’agit d’une vulnérabilité d’accès mémoire lors limites, susceptible de permettre l’exécution de code.

 

Mise à jour pour Libre Office, sur la liste de la CIA

 

D’autres fournisseurs ont publié des mises à jour, notamment FileZilla, CCleaner et Libre Office mais, pour le moment, aucune information de sécurité ne les accompagne. Libre Office est particulièrement intéressant, puisqu’il figure sur la liste de la CIA intitulée « Fine Dining list » (élément de la section 7 de Wikileaks) en tant que produit connu pour faciliter le piratage des DLL.  Nous surveillons la liste des fournisseurs de DLL piratables pour repérer les mises à jour publiées pour nous protéger de ce type d’attaque, mais aucune n’a été ajoutée pour le moment.

Patch Tuesday de Microsoft : 18 correctifs critiques et importants !
Notez cet article

Laisser un commentaire

Réussir son projet collaboratif-14 novembre

Jalios Digital Summit, une journée qui vous donnera toutes les clés pour réussir votre projet collaboratif, le 14 novembre 2017 au Centre de Conférences Cœur Défense

Inscription

Sondage

Windows 10 et vous

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
Témoignages
Juridique
  • Juridique - Données personnelles : la Cnil, aujourd'hui moins clémente, sanctionne pécuniairement Hertz France

    C’est la première fois qu’une sanction pécuniaire est prononcée par la CNIL pour une violation…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • Avis d'expert d'Ivanti - Mises en garde avant le Patch Tuesday d’Octobre : il est temps de réviser les stratégies de correctifs

    Ivanti partage dans cet avis d'expert ses prévisions pour le Patch Tuesday d’octobre, dans lesquelles…

    > En savoir plus...
Etudes/Enquêtes
  • Gestion de l'expérience collaborateurs : à charge des RH ou des DSI ?

    Les ressources humaines (RH) ont longtemps été considérées comme étant responsables de l'expérience des employés.…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement

Guide de la cybersécurité 2017-2018

Global Knowledge_Docker_Skycraper
Agenda
livres blancs
Les Livres
Blancs
  • Cloud hybride : réussir l’externalisation de votre SI en 4 étapes

    > Voir le livre
  • Les bonnes pratiques pour implémenter une solution de personnalisation

    > Voir le livre
Global Knowledge_Docker_Skycraper