En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 15/06/2017
    Forum CXP

    15 JUIN 2017 | Etoile Saint-Honoré, Paris 8 La journée annuelle du cabinet CXP dédiée…

    en détail En détail...
  • 03/07/2017
    Cloud Week 2017

    La Cloud Week 2017 se déroule du 3 au 7 juillet 2017 dans différents lieux…

    en détail En détail...
ITrust_SOC_leaderboard

Patch Tuesday de Microsoft : 18 correctifs critiques et importants !

GlobalKnowledge_Devops_pave

Microsoft publie d’un coup deux mois de mises à jour après avoir annulé le Patch Tuesday de février. On y trouve 18 bulletins, critiques ou importants. Ivanti nous explique en exclusivité, comme chaque mois, ce qu’il faut en retenir.

Si vous manquez un Patch Tuesday, les choses s’accumulent très rapidement. Les publications de mars le montrent très clairement. Microsoft vient juste de publier deux mois de mises à jour, qui incluent au total 18 bulletins (oui, nous avons bien écrit « bulletins », nous allons y venir), dont 9 de type « Critique », 9 de type « Important », 136 CVE (Common Vulnerabilities and Exposures, failles courantes), 3 de type « Zero Day » et 12 divulgations publiques. Nous avons aussi la divulgation SMB (CVE-2017-0016 dans MS17-012), publiée la semaine précédant le Patch Tuesday de février.  Il y a en outre deux bulletins d’Adobe et deux autres de VMware, dont nous allons parler.

 

Microsoft prévoyait plusieurs choses pour février, et nous allons commencer par examiner cette liste pour voir ce qu’il en est :

  • Fermeture de la divulgation publique SMB : la vulnérabilité CVE-2017-0016 a été résolue dans MS17-012. Cela marque la fin de la vulnérabilité de SMB divulguée la semaine précédant le Patch Tuesday de février.
  • Séparation d’IE des lots de sécurité: on a parlé du fait que Microsoft cherchait à sortir les mises à jour d’Internet Explorer (IE) des lots Sécurité uniquement pour Windows 7 et 8.1… Et bien, c’est fait ! Cela affecte les utilisateurs qui déploient le lot Sécurité uniquement sous Windows 7 et 8.1, ou pour toute autre version antérieure à Windows 10, d’ailleurs.
  • Microsoft devait arrêter de publier des bulletins : étant donné que nous avons 18 bulletins ce mois-ci, nous pensons que Microsoft a renoncé à ce changement, du moins pour le moment.

Passons aux bulletins ! 

Ils sont très nombreux ce mois-ci, alors nous allons parler des plus importants uniquement. Chacun d’entre eux concerne des divulgations publiques ou des attaques « Zero Day », et ils figurent tous sur la liste des priorités d’Ivanti ce mois-ci.

MS17-006 est une mise à jour cumulée pour Internet Explorer.  Elle est marquée comme Critique et résout un total de 12 vulnérabilités, y compris 5 divulgations publiques (CVE-2017-0008, CVE-2017-0037, CVE-2017-0012, CVE-2017-0033, CVE-2017-0154) et un « Zero Day » (CVE-2017-0149).  La vulnérabilité « Zero Day » cible l’utilisateur et pouvait permettre à un pirate d’obtenir les mêmes droits que l’utilisateur connecté.  Le pirate pouvait exploiter cette vulnérabilité en hébergeant des sites Web spécialement conçus ou en tirant parti d’un site Web infecté, via le contenu créé par l’utilisateur victime ou via les publicités.

MS17-007 est une mise à jour cumulée pour le navigateur Edge.  Elle est marquée comme Critique et résout un total de 32 vulnérabilités, y compris 5 vulnérabilités divulguées publiquement (CVE-2017-0065, CVE-2017-0012, CVE-2017-0033, CVE-2017-0069, CVE-2017-0037). Évidemment, le « Zero Day » est le plus grand facteur de risques lorsque l’on définit la priorité des bulletins, mais les vulnérabilités divulguées publiquement sont en fait plus dangereuses, parce qu’elles peuvent offrir suffisamment d’informations à un pirate pour qu’il crée une attaque. La plupart des vulnérabilités ciblent les utilisateurs, ce qui signifie qu’elles sont parfaites pour les attaques par hameçonnage, y compris via du contenu Web conçu à cet effet. N’oubliez pas : une bonne gestion des privilèges peut vous aider à limiter l’impact d’un grand nombre de ces vulnérabilités. Si vous mettez en place un système de gestion des privilèges, le pirate obtient seulement des droits égaux à ceux de l’utilisateur victime et doit acquérir d’autres privilèges pour aller plus loin.

MS17-013 est une mise à jour pour Office, Lync, Skype et Silverlight. Elle est marquée comme Critique et résout un total de 12 vulnérabilités, dont une vulnérabilité divulguée publiquement (CVE-2017-0014) et une vulnérabilité « Zero Day » (CVE-2017-0005). Ce bulletin contient un grand nombre de vulnérabilités qui ciblent l’utilisateur, dont certaines qui permettent d’utiliser le volet Aperçu comme vecteur d’attaque.

MS17-022 est une mise à jour pour Microsoft XML Core Services.  Elle est marquée Important et résout une seule vulnérabilité, mais il s’agit d’un « Zero Day » pouvant autoriser la divulgation d’informations. Dans ce cas, le pirate peut héberger un site Web spécialement conçu, capable d’exploiter la vulnérabilité XML et de permettre à ce pirate de vérifier la présence de fichiers sur le disque. De là, le pirate peut tenter d’autres attaques par exploitation.

Patch Tuesday mars

Les applications tierces

 

Il y a beaucoup d’autres bulletins Microsoft, mais ce sont là les éléments à traiter en priorité. Passons maintenant aux applications tierces : il y a deux bulletins Adobe et deux bulletins VMware ce mois-ci.

Adobe Flash Player, comme on s’y attendait, figure sur la liste. En 2016, un seul Patch Tuesday ne comprenait pas de mise à jour Flash Player.  Comme toujours, il est important de noter qu’il faut mettre à jour Adobe Flash et tous les plug-ins pour IE, Chrome et FireFox, pour vous protéger entièrement des vulnérabilités. Le bulletin du mois, APSB17-07, inclut des correctifs pour 7 vulnérabilités ciblant l’utilisateur, susceptibles de permettre à un pirate de prendre le contrôle du système infecté. Cette mise à jour est marquée comme priorité 1 par Adobe et figure dans notre liste de priorités.

VMware VMSA-2017-0005 est une vulnérabilité critique dans VMware Workstation Fusion and Player.  Cette mise à jour résout une seule vulnérabilité. Il s’agit d’une vulnérabilité d’accès mémoire lors limites, susceptible de permettre l’exécution de code.

 

Mise à jour pour Libre Office, sur la liste de la CIA

 

D’autres fournisseurs ont publié des mises à jour, notamment FileZilla, CCleaner et Libre Office mais, pour le moment, aucune information de sécurité ne les accompagne. Libre Office est particulièrement intéressant, puisqu’il figure sur la liste de la CIA intitulée « Fine Dining list » (élément de la section 7 de Wikileaks) en tant que produit connu pour faciliter le piratage des DLL.  Nous surveillons la liste des fournisseurs de DLL piratables pour repérer les mises à jour publiées pour nous protéger de ce type d’attaque, mais aucune n’a été ajoutée pour le moment.

Notez cet article

Laisser un commentaire

10 problèmes de réseau courants

La solution PRTG Network Monitor vous aide à prévenir et résoudre ces problèmes en restant informé.

Lire le livre blanc

Sondage

Attaques cyber: les DSI prennent-elles trop de temps pour mettre en place les mises à jour Windows ?

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
Témoignages
Juridique
  • Accès indirects SAP : l'USF s'inquiète suite à une décision de justice britannique

    La décision récente d’un tribunal britannique reconnaissant l’exigibilité de droits de licence SAP pour des…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • Démarche DevOps : les 4 pièges à éviter (avis d'expert)

    Le DevOps a le vent en poupe. Mais selon Jean-Louis Lormeau, Digital Performance Architect chez…

    > En savoir plus...
Etudes/Enquêtes
  • Record de malwares en 2017, avec 7,41 millions de nouveaux codes malveillants, prédit G-DATA

    Les experts sécurité du G DATA Security Labs ont recensé 1 852 945 nouveaux types…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement
Global Knowledge_VEEAM_skycraper
Agenda
livres blancs
Les Livres
Blancs
  • Un regard neuf sur la gestion des coûts de stockage des données archivées

    > Voir le livre
  • Déploiement de petites salles serveurs et de micro-datacenters

    > Voir le livre
elo_processus pointe_skyscraper