Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Patch Tuesday – Janvier 2017

janvier 2017 par Amol Sarwate de Qualys dans The Laws of Vulnerabilities

Microsoft commence l’année avec un nombre de mises à jour historiquement bas

Le premier Patch Tuesday de l’année commence avec une publication qui ne résout que trois vulnérabilités, c’est le mois de janvier le plus sobre jamais enregistré en termes de patchs. Ces correctifs ont été publiés pour Microsoft Office, le navigateur Edge et le service du sous-système d’autorité de sécurité locale (LSASS). Les administrateurs système devraient être heureux de cette mise à jour exceptionnellement minimaliste.

A compter du mois prochain, Microsoft remplacera le système actuel de publication mensuelle par un document à « destination unique permettant de consulter et rechercher des informations sur les vulnérabilités de sécurité ». Intitulé Guide des mises à jour de sécurité, ce nouveau portail de sécurité s’appuie sur une base de données en ligne qui, plutôt que de devoir parcourir une liste de documents, permettra de trier, rechercher et filtrer la base de données pour y trouver des détails sur un bulletin de sécurité particulier et ses mises à jour associées.

La priorité des mises à jour publiées ce mois-ci est le bulletin du service du sous-système d’autorité de sécurité locale (LSASS) destiné aux administrateurs Windows Server 2008. Ce bulletin MS17- 004 résout une situation de déni de service pouvant permettre à des attaquants non authentifiés de déclencher une réinitialisation automatique. Afin d’exploiter la vulnérabilité, un attaquant non authentifié peut envoyer une requête d’authentification créée de toute pièce pour provoquer une réinitialisation. Portant l’intitulé CVE-2017-0004, cette vulnérabilité a été divulguée publiquement avant la disponibilité du correctif et un exploit (PoC) pourrait bientôt voir le jour. Windows 7 et Vista sont également affectés.

L’autre priorité absolue pour les postes de travail est le bulletin MS17-002 critique pour Office, il s’applique à Word 2016 et SharePoint 2016. En effet, un attaquant peut envoyer un fichier malveillant sous la forme de pièce jointe et prendre le contrôle total du système si ce fichier est ouvert avec le logiciel affecté.

Quant au bulletin Microsoft Edge MS17-001, il concerne Windows 10 et Windows Server 2016. Il permet à un attaquant d’accéder à l’information d’un domaine et de les injecter dans un autre pour obtenir des privilèges élevés. Immatriculée CVE-2017-0002, cette vulnérabilité a été divulguée publiquement avant la disponibilité du patch.

En résumé, ce Patch Tuesday contient une mise à jour de correctifs pour les administrateurs avec une attaque DoS non authentifiée pour Server 2008 et une exécution de code à distance pour Word 2016, critique pour les postes de travail.




Voir les articles précédents

    

Voir les articles suivants