– Patch Tuesday (le second mardi de chaque mois) : deux composants majeurs seront diffusés à l’occasion du Patch Tuesday :
Une mise à jour dédiée à la sécurité : il s’agit d’une mise à jour unique avec tous les nouveaux correctifs de sécurité pour le mois en cours. Elle sera diffusée sur les services WSUS (Windows Server Update Services) où elle peut être utilisée par d’autres outils tels que ConfigMgr et le catalogue Windows Update. Ce package ne sera PAS disponible pour les PC grand public qui, eux, sont mis à jour via Windows Update.
Un déploiement de sécurité mensuel : une mise à jour unique contenant tous les nouveaux correctifs de sécurité pour le mois en cours (identiques à la mise à jour dédiée à la sécurité) ainsi que des correctifs issus de tous les déploiements mensuels précédents. Il sera disponible pour les PC grand public, mis à jour via Windows Update.

– Third Tuesday « Troisième Mardi » de chaque mois : ce déploiement mensuel contient un aperçu des nouveaux correctifs non liés à la sécurité, qui seront fournis lors du prochain déploiement mensuel, ainsi que des correctifs issus de tous les déploiements mensuels précédents. Les utilisateurs pourront ainsi tester leurs systèmes avant le mois suivant. Il sera disponible sur WSUS, Windows update et le catalogue Windows Update.
Les mises à jour pour Internet Explorer sont comprises dans le déploiement dédié à la sécurité et le déploiement de sécurité mensuel. .NET fera l’objet d’une formule similaire au déploiement mensuel et aux mises à jour dédiées à la sécurité.

Voici une liste des correctifs de sécurité que les administrateurs devraient déployer :

Au total, ce sont dix mises à jour de sécurité qui ont été publiées pour les navigateurs, Office, GDI, les pilotes du noyau Windows, la base de registre et la messagerie ainsi qu’une mise à jour pour Adobe Flash. Cinq mises à jour sont critiques, quatre sont importantes et une est de niveau modéré. À noter que cinq d’entre elles permettent de corriger au moins une vulnérabilité 0-Day. Il s’agit de vulnérabilités déjà activement exploitées en mode aveugle.

Le bulletin GDI+ MS16-120 corrige une vulnérabilité 0-Day permettant à des attaquants de prendre pleinement le contrôle de la machine ciblée lorsque son utilisateur consulte une page Web malveillante. Comme cette vulnérabilité se trouve dans le système graphique central, je l’ai classée à un niveau supérieur.

Les deux bulletins concernant les navigateurs, soit MS16-118 pour Internet Explorer et MS16-119 pour Edge, fournissent aussi un correctif pour une vulnérabilité 0-Day qui permet aux attaquants d’exécuter du code à distance (RCE). Pour que l’attaque réussisse, la victime doit utiliser l’un de ces deux navigateurs pour consulter une page Web malveillante hébergée par l’attaquant.

Quant au bulletin MS16-121 pour Office, il résout la quatrième vulnérabilité 0-Day d’octobre. Il corrige un problème de format de fichier exploitable lorsque l’attaquant parvient à envoyer un fichier RTF malveillant à sa victime sous la forme d’une pièce jointe à un e-mail ou lorsqu’il invite sa proie à consulter ce document en ligne. Si il réussit, l’attaquant peut alors prendre le contrôle total de la machine ciblée.

MS16-126 est le dernier bulletin du mois qui résout une vulnérabilité 0-Day affectant le composant API de la messagerie Internet et qui est donc classée seulement comme modérée. Cette vulnérabilité permet à l’attaquant de vérifier à distance la présence de fichiers sur la machine qu’il cible. Exploitée en mode aveugle, je classe cette vulnérabilité dans une catégorie plus sérieuse car elle abuse d’informations susceptibles d’aider à lancer de futures attaques.

Le bulletin MS16-122 corrige une vulnérabilité qui permet d’exécuter du code à distance (RCE) au sein du contrôle vidéo Microsoft. Elle est cependant classée à un niveau un peu moins sévère car il ne s’agit pas d’une 0-Day. Si cette vulnérabilité est exploitée, l’attaquant peut contrôler totalement la machine ciblée.

Le pilote du noyau (MS16-123), le registre Windows (MS16-124) et le service Diagnostics Hub (MS16-125) font tous l’objet de vulnérabilités à base d’élévation de privilèges. Ils sont néanmoins classés à un niveau moins sévère car les attaquants doivent disposer de certificats valides pour exploiter ces failles. S’ils parviennent à les exploiter, les attaquants peuvent faire ajouter des privilèges à leur compte.