Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Le Patch Tuesday de décembre 2013 vu par Wolfgang Kandek, CTO de Qualys

décembre 2013 par Wolfgang Kandek, CTO, Qualys

Microsoft a confirmé la disponibilité du correctif pour la vulnérabilité Zero Day dans le composant de traitement des images TIFF. Et aussi qu’il n’y aura pas de mise à jour imminente pour la vulnérabilité Zero-Day locale. Pour l’instant, la meilleure défense consiste donc à mettre à jour votre installation Adobe Reader.

Microsoft vient de pré-annoncer le dernier Patch Tuesday pour 2013. Soit 11 bulletins de sécurité qui seront diffusés pour Internet Explorer, les systèmes d’exploitation Windows ainsi que la suite Microsoft Office. Ceci porte à 106 le nombre total de bulletins de sécurité pour 2013, soit une hausse sensible par rapport aux 83 en 2012, mais aussi une relative stabilité par rapport à 2011 (100 bulletins) et 2010 (106 bulletins). Microsoft a également publié ses bulletins de manière plus régulière depuis 2012 avec en moyenne 9 bulletins diffusés par mois plutôt qu’une diffusion bi-mensuelle plus intensive à laquelle l’éditeur nous avait habitués les années précédentes. Grâce à ce cycle de diffusion stable et plus prévisible, les administrateurs informatiques peuvent donc anticiper la charge de travail nécessaire à chaque Patch Tuesday.

2012 a connu un grand nombre de vulnérabilités Zero-Day. La plupart gravitaient autour d’Internet Explorer, et ont fait l’objet de correctifs Zero-Day en janvier (bulletin de sécurité MS13-008), en mars (bulletin MS13-021) et en octobre avec le bulletin MS13-080.

Est venue s’ajouter la vulnérabilité Zero-Day sous ActiveX corrigée en novembre via le bulletin de sécurité MS13-090. Cependant, deux vulnérabilités Zero Day restent actuellement ouvertes : la première se trouve dans Windows et Microsoft Office, dans la bibliothèque pour le format graphique TIFF mentionnée début novembre dans l’article KB2896666. La deuxième est une vulnérabilité Zero-Day locale au sein du noyau Windows que Microsoft a indiqué dans l’article KB2914486, le 27 Novembre. Des solutions de contournement dont nous recommandons le déploiement sont disponibles pour ces deux vulnérabilités.

Sur son blog, Microsoft a indiqué que la vulnérabilité Zero-Day TIFF serait corrigée à l’aide du patch fourni dans le prochain Bulletin #1, mais que le correctif pour la vulnérabilité Windows locale n’était pas encore finalisé. Pour l’instant, la meilleure défense consiste donc à neutraliser le vecteur d’attaque actuellement connu, à savoir une vulnérabilité corrigée dans Adobe Reader, en adoptant le tout dernier niveau de patch (APSB13-25) de ce produit et en déployant au moins la version APSB13-15.

Concernant les vulnérabilités Zero-Day, Microsoft a toujours insisté sur l’intérêt d’EMET (Enhanced Mitigation Experience Toolkit), une boîte à outils de sécurité qui a prouvé son efficacité pour tous les problèmes liés aux vulnérabilités Zero-Day rencontrées cette année. Nous pensons que les entreprises devraient évaluer et prendre en compte cette mesure de sécurité proactive au titre de couche supplémentaire de mesures défensives. Gratuit et publié par Microsoft, EMET est un outil qui s’est sensiblement amélioré depuis l’an dernier en termes de facilité d’administration et de déploiement.

Mais revenons à la publication imminente de décembre qui concernera la diffusion de six bulletins relatifs à l’exécution de codes à distance :
 Le Bulletin #1 concernera la vulnérabilité Zero Day au sein du format TIFF pour les versions Windows, Office et Lync affectées.
 Le Bulletin #2 proposera une nouvelle version d’Internet Explorer.
 Les Bulletins #3 et #4 seront consacrés à Windows.
 Le Bulletin #5 sera orienté serveur pour Microsoft Exchange et concernera aussi probablement la nouvelle bibliothèque Outside In d’Oracle publiée lors de la mise à jour des patchs critiques (CPU) d’octobre.
 Quant au bulletin #6, considéré comme « important » seulement, il sera consacré à Microsoft Office. Il devra cependant retenir tout votre attention en raison des risques d’exécution de codes à distance, le plus probablement via des vulnérabilités liées aux formats de fichier.

Les autres bulletins traiteront de vulnérabilités liées à l’élévation locale des privilèges dans Windows et les Outils Microsoft pour développeurs, ainsi que du risque de divulgation d’information et de contournement des fonctions de sécurité dans Office.


Voir les articles précédents

    

Voir les articles suivants