Si
l’on
regarde
le
nombre
moyen
de
bulletins
et
de
vulnérabilités
de
chaque
Patch
Tuesday
cette
année,
on
constate
une
moyenne
d’environ
3
CVE
(Common
Vulnerabilies
and
Exposures)
par
bulletin.
En
raison
des
explications
du
billet
de
blog
de
Microsoft,
les
spécialistes
de
Shavlik
ont
passé
en
revue
tous
les
Patch
Tuesday
de
2016
et
recompté
le
nombre
total
de
bulletins
qui
auraient
dû
être
publiés selon le nouveau modèle. La moyenne des
CVE passe à environ 12
CVE par bulletin.

Dans les
faits,
les
exceptions
dues
aux
problèmes
de
comptabilité
des
applications
vont
devenir
plus
importantes
du
point
de
vue
des
risques.
Les
entreprises
devront
tester
plus
strictement
la
compatibilité
de
leurs
applications
pour
éviter
les
pannes
lorsqu’un
grand
nombre
de
packs
de
mise
à
jour
de
sécurité
seront
distribuées
(Push)
sur
leurs
systèmes.
En
cas
de
conflit,
les
fournisseurs
à
l’origine
de
ces
conflits
de
mises
à
jour
seront
encore
plus
sous
pression
pour
résoudre
les
problèmes.
Les
entreprises
auraient
peut-être
accepté
qu’une
exception
provoque
une
ou
deux
vulnérabilités, mais
une
exception
qui
provoque
l’absence
de
correctifs
pour
20
vulnérabilités
entrainera
une tout autre réaction.

Les faits
à retenir :

Une
mise
à
jour
de
Flash
Player
et
14
bulletins
de
Microsoft.
Ces
14
bulletins
Microsoft
incluent
comprennent
7
mises
à
jour
critiques
et
7
mises
à
jour
importantes,
qui
résolvent
un
total
de
50
vulnérabilités
distinctes,
notamment
une
faille
« 
zero
day
 »
dans
Internet
Explorer
(CVE-2016-3351) et une divulgation publique (CVE-2016-3352).

Adobe
a
publié
3
bulletins
au
total,
mais
seul
Flash
Player
est
marqué
comme
critique
(Priorité
1,
selon
les
critères
de
gravité
Adobe).
Il
résout
29
vulnérabilités.
Les
deux
autres
bulletins
Adobe
résolvent
9
vulnérabilités,
mais
ils
sont
tous
deux
marqués
Priorité
3,
niveau
de
gravité le plus faible pour les mises à jour de sécurité Adobe.

Google
a
aussi
publié
récemment
une
mise
à
jour
Chrome.
Ainsi,
il
ne
faut
pas
oublier
d’inclure
ce
navigateur
dans
sa
maintenance
mensuelle des correctifs, car la mise à jour inclut des corrections de sécurité supplémentaires.

En
regardant
plus
en profondeur dans les mises à jour à priorité élevée :

MS16-104
est
une
mise
à
jour
critique
pour
Internet
Explorer
qui
résout
10
vulnérabilités,
y
compris
une
faille
d’exploitation
« 
zero
day
 »
(CVE-2016-3351).
C’est
donc
une
priorité
absolue
ce
mois-ci.
Ce
bulletin
inclut
des
vulnérabilités
qui
ciblent
les
utilisateurs
finaux.
Il
est
possible
d’
atténuer
l’impact
de
plusieurs
de
ces
vulnérabilités
en
gérant
correctement
les
privilèges.
En
effet,
si
l’utilisateur
attaqué
possède
des
droits
d’accès
complets,
ces
droits
s’étendent
aussi
au
pirate.
Si
l’utilisateur
a
des
droits
restreints,
le
pirate
devra
trouver
d’autres solutions pour obtenir des privilèges plus élevés s’il veut attaquer davantage le système.

MS16-105
est
une
mise
à
jour
critique
pour
le
navigateur
de
périphérie,
qui
résout
12
vulnérabilités.
Ce
bulletin
inclut
des
vulnérabilités
qui
ciblent
les
utilisateurs
finaux.
Il
est
également
possible
d’atténuer
l’impact
de
plusieurs
d’entre
elles
en
gérant
correctement
les
privilèges.

MS16-106
est
une
mise
à
jour
critique
pour
Windows
Graphics,
qui
résout
5
vulnérabilités.
L’impact
des
correctifs
GDI
va
généralement
au-delà
du
système
d’exploitation
Windows,
car
GDI
est
un
composant
courant,
utilisé
par
de
nombreux
produits
Microsoft.
Ce
mois-ci,
il semble que la mise à jour
GDI ne porte que sur le système d’exploitation.
Il semble que cela soit
la première fois cette année.

MS16-107
est
une
mise
à
jour
critique
pour
Office
et
SharePoint,
qui
résout
13
vulnérabilités.
Attention,
lorsque
l’on
parle
d’Office
et
SharePoint,
il
s’agit
de
TOUTES
les
variantes
 :
toutes
les
versions
d’Office,
des
visionneuses
Office
Viewers,
et
de
SharePoint
(y
compris
SharePoint
2007).
Cet
élément
peut
apparaître
plusieurs
fois
sur
une
machine,
selon
les
produits
et
visionneuses
installés
sur
chaque
système.
Ce
bulletin
inclut
des
vulnérabilités
qui
ciblent
les
utilisateurs
finaux,
donc
nécessitent
une
gestion
correcte
les
privilèges.

MS16-108
est
une
mise
à
jour
critique
pour
Exchange
Server,
qui
résout
3
vulnérabilités.
En
réalité,
cette
mise
à
jour
va
plus
loin,
car
elle
inclut
les
bibliothèques
Oracle
Outside
in,
pour
lesquelles
une
mise
à
jour
a
été
publiée
en
juillet.
Cela
ajoute
18
vulnérabilités
au
nombre
de
vulnérabilités
résolues
pour
ce
bulletin.
Et
le
bulletin
inclut
une
vulnérabilité
qui
cible
l’utilisateur.
Un
pirate
peut
envoyer
un
lien
contenant
une
URL
spécialement
configurée,
qui
autorise
la
redirection
d’un
utilisateur
Exchange
authentifié
vers
un
site
malveillant
conçu pour se faire passer pour un site légitime.

MS16-110
est
une
mise
à
jour
importante
qui
résout
4
vulnérabilités.
Pourquoi
inclure
cette
seule
mise
à
jour
importante
dans
la
liste
des
mises
à
jour
Haute
priorité
ce
mois-ci
 ?
C’est
parce
qu’il
s’agit
de
CVE-2016-3352,
communiquée
au
grand
public.
Cela
signifie
qu’un
nombre
suffisant
d’informations
a
été
communiqué
avant
la
publication
de
la
mise
à
jour,
et
que
les
pirates
ont
eu
le
temps
de
préparer
leurs
attaques.
Ce
bulletin
passe
donc
en
priorité
élevée,
car
la
vulnérabilité
a
davantage
de
chances
d’être
exploitée.
Cette
vulnérabilité
est
un
défaut
des
demandes
SSO
NTLM
lors
des
sessions
de
connexion
MSA.
Un
pirate
qui
exploite
cette
faiblesse
peut
tenter
d’obtenir
la valeur de hachage de mot de passe
NTLM d’un utilisateur par la force brute.

MS16-116
est
une
mise
à
jour
critique
du
moteur
de
scripts
VBScript,
qui
résout
une
seule
vulnérabilité.
Pour
que
la
résolution
soit
complète,
il
faut
installer
cette
mise
à
jour
avec
la
mise
à
jour
IE
MS16-104.
Ce
bulletin
inclut
des
vulnérabilités
qui
ciblent
les
utilisateurs finaux,
donc il faut s’assurer d’une bonne gestion des privilèges.

MS16-117
est
une
mise
à
jour
critique
du
plug-in
Adobe
Flash
Player
pour
Internet
Explorer.
Ce
bulletin
inclut
29
vulnérabilités,
dont
plusieurs ciblent l’utilisateur.

APSB16-29
est
une
mise
à
jour
Priorité
1
pour
Adobe
Flash
Player,
qui
résout
29
vulnérabilités.
Pour
les
mises
à
jour
Flash
Player,
il
y
a
généralement 2
à 4
mises à
jour à appliquer à chaque système. Flash
Player et ses plug-ins pour
IE, Chrome et
FireFox.