C'est à cette période du mois que Microsoft a publié son Patch Tuesday visant à corriger les vulnérabilités. Le mois dernier Patch mardi a posé des problèmes aux utilisateurs car ils causaient encore des bugs, étant "à moitié cuit". C'est le huitième Patch mardi de l'année et il est accompagné de huit nouveaux bulletins de sécurité (coïncidence ?), dont trois seulement sont classés « Critiques » et cinq comme « Importants ».
Les huit bulletins de sécurité publiés par Microsoft traiter 23 vulnérabilités depuis Windows, Internet Explorer et Exchange. Les correctifs les plus importants, selon la recommandation de Microsoft, sont MS13-059 (Internet Explorer) et MS13-060 (Windows XP et Server 2003.). Après avoir appliqué ces correctifs de première priorité, vous devez corriger tous les autres logiciels de Microsoft que vous utilisez pour vous assurer d'avoir une sécurité de premier ordre.
23 vulnérabilités découvertes dans le Patch Tuesday
Le bulletin de sécurité MS13-059 est une mise à jour de sécurité importante pour Internet Explorer qui couvre 11 vulnérabilités divulguées en privé. Nous ne savons pas si ceux-ci ont été largement utilisés ou s'ils ont été fortement exploités par des pirates.
Les vulnérabilités les plus graves pourraient permettre l'exécution de code à distance si un utilisateur affichait une page Web spécialement conçue à l'aide d'Internet Explorer. Un attaquant qui réussirait à exploiter la plus grave de ces vulnérabilités pourrait obtenir les mêmes droits d'utilisateur que l'utilisateur actuel.
Le bulletin de sécurité MS13-060 corrige une vulnérabilité détectée dans le processeur de script Unicode de Microsoft Exchange Server, permettant aux pirates d'afficher les polices comme vecteur d'attaque. Le directeur technique de Qualys, Wolfgang Kandek, a expliqué :
Les polices sont dessinées au niveau du noyau, donc si vous pouvez d'une manière ou d'une autre influencer le dessin des polices et le faire déborder. Cela donnerait à un attaquant le contrôle de l'ordinateur de la victime.
Amol Sarwate, directeur de Qualys Vulnerability Labs :
C'est un vecteur d'attaque très séduisant. Tout ce qu'un attaquant aurait à faire est de diriger une victime vers un document, un e-mail ou une page Web malveillante pour exploiter la vulnérabilité.
Outre ce qui précède, voici quelques autres faits saillants et « bonus » du Patch Tuesday de ce mois-ci et la description du reste des bulletins de sécurité :
- MS13-061 – vulnérabilité des bibliothèques Oracle « Outside In »
- MS13-062 – vulnérabilité affectant le code de gestion RPC dans toutes les versions de Windows
- MS13-063 – contournement de l'ASLR (Address Space Layout Randomization) et 3 vulnérabilités de corruption du noyau pour permettre l'élévation des privilèges
- MS13-064 – vulnérabilité de déni de service unique dans le pilote NAT de Windows Server 2012
- MS13-065 – vulnérabilité de déni de service unique dans la pile IPv6 dans toutes les versions de Windows à l'exception de XP et Server 2003
- MS13-066 – vulnérabilité de divulgation d'informations dans les services de fédération Active Directory (AD FS) dans toutes les versions basées sur Intel de Windows Server autres que Server Core.
En plus de cela, Microsoft a également mis à jour Windows 8 et RT « pour améliorer la fonctionnalité de protection dans Windows Defender ».
