Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Wolfgang Kandek, CTO de Qualys,analyse les mises à jours des correctifs Adobe et Microsoft du mois d’octobre

octobre 2013 par Wolfgang Kandek, CTO de Qualys

Octobre s’annonce comme un mois riche en correctifs. En effet, la semaine prochaine sera diffusé le Patch Tuesday tandis qu’Adobe et Microsoft ont publié leur notification préalable, à savoir respectivement un et huit bulletins. En outre, le 15 octobre, Oracle diffusera une mise à jour des patchs critiques (CPU) qui comprendra une nouvelle version des logiciels d’entreprise de l’éditeur ainsi qu’une nouvelle version de Java 7.

Ce mois d’octobre marque aussi le 10ème anniversaire du Patch Tuesday, un programme lancé par Microsoft en octobre 2003. Au cours de la dernière décennie, le Patch Tuesday s’est imposé comme un modèle de déploiement d’un programme de diffusion de patchs, que ce soit en termes de sensibilisation pour les lanceurs d’alertes de vulnérabilités ou de prévisibilité pour les administrateurs IT devant gérer un nombre croissant de patchs destinés à leur infrastructure informatique. L’équipe Microsoft dédiée est professionnelle et c’est un plaisir de collaborer avec elle sur des questions de déploiement ou pour obtenir l’information de fond sur les possibilités d’atténuer les vulnérabilités.

Néanmoins, Microsoft a vécu deux semaines particulièrement agitées depuis la diffusion de son avis de sécurité KB2887507 qui détaillait CVE-2013-3893, une vulnérabilité Zero Day dans Internet Explorer utilisée pour lancer des attaques ciblées en Asie. Depuis, des travaux ont été publiés, dès début août, sur le lien entre cet exploit et des codes malveillants. Des rapports ont également signalé que ce même exploit a commencé à être plus largement utilisé par d’autres groupes de cybercriminels et qu’il a été diffusé en tant que module Metasploit cette semaine. Une solution de contournement (Fix-It) est disponible depuis le 17 septembre.

Mais le problème est désormais résolu : le Bulletin #1 destiné à Internet Explorer traite cette récente vulnérabilité Zero Day. Il s’agit sans doute du patch prioritaire de la semaine prochaine et qui concerne toutes les versions d’Internet Explorer, de la 6 à la 11.

Heureusement, le volume d’attaques via cette vulnérabilité reste faible, ce qui a permis à Microsoft de lancer un cycle de test complet sur toutes les combinaisons possibles de systèmes d’exploitation et de sites cibles.

Les bulletins #2, #3 et #4 sont tous critiques et traitent des failles dans les systèmes d’exploitation Windows à partir de Windows XP, dont Windows 8 et Windows RT.

Les bulletins #6 et #7 traitent d’importantes vulnérabilités dans Microsoft Excel et Microsoft Word. Il semble s’agir de vulnérabilités liées au format de fichier et qui permettent d’exécuter du code à distance lorsqu’un fichier est ouvert.

Ces vulnérabilités devraient figurer en tête de votre liste de patchs. En effet, les pirates ont souvent recours à ces vulnérabilités diffusées sous la forme de pièces jointes à des courriers électroniques bien rédigés et qui sont souvent ouverts par les destinataires.

Le Bulletin #5 traite une importante vulnérabilité dans Windows Sharepoint Server et sera d’une aide précieuse, en particulier si vous exposez Sharepoint sur Internet.

Le bulletin #8 traite quant à lui une vulnérabilité entraînant une divulgation d’informations dans Silverlight. Il s’agit du moins urgent des huit patchs.

Adobe diffuse une nouvelle version d’Adobe Reader XI et d’Acrobat XI sous Windows afin de résoudre une vulnérabilité critique. À l’heure actuelle, cette vulnérabilité n’est pas utilisée de manière aveugle dans le cadre d’une quelconque attaque.


Voir les articles précédents

    

Voir les articles suivants