Cette augmentation est en partie due aux nouveaux produits, et notamment
le bulletin MS15-095

consacré au navigateur Microsoft Edge qui résout quatre vulnérabilités
critiques qui n’existaient pas avant le lancement de Windows 10. Mais la
véritable raison de l’envolée du nombre de bulletins est probablement
l’attention toujours plus importante accordée à la sécurité
informatique. À tel point que les problèmes de sécurité IT motivent
légitimement de plus en plus de personnes à choisir un métier dans ce
domaine. Les récentes failles de données chez OPM, Target et Ashley
Madison ont démontré que les vulnérabilités et leur résolution plutôt
lente pouvaient avoir un impact au delà du coût financier.

Ce mois-ci, la première place revient au bulletin MS15-097
dédié à Windows GDI+. Ce bulletin est classé comme critique pour Windows
Vista et Server 2008, pour Microsoft Office 2007 et 2010 ainsi que pour
Lync 2007, 2010 et 2013. De plus, l’une des vulnérabilités seulement
classée comme importante dans ce bulletin est victime d’attaques non
ciblées. La vulnérabilité CVE-2015-2546 facilite en effet une escalade
de privilèges une fois présente sur la machine ciblée, ce qui permet à
l’attaquant de devenir administrateur de cette dernière. CVE-2015-2546
affecte toutes les versions de Windows dont Windows 10.

Notre deuxième priorité concerne MS15-094, la mise à
jour pour Internet Explorer. Ce bulletin résout 17 vulnérabilités dont
14 considérées comme critiques car permettant à un pirate de prendre le
contrôle de votre navigateur et d’exécuter du code sur votre machine,
tout simplement par le truchement d’une page Web. À base d’exécution de
code à distance (RCE) et prisées par de nombreux groupes de pirates, ces
vulnérabilités sont un vecteur majeur d’infections de masse. Ces
attaquants sont « opportunistes » car ils ne choisissent pas
spécifiquement leurs cibles mais infectent autant de machines que
possible. Jetez un œil au schéma de Brian Krebs pour savoir comment
faire de l’argent en attaquant une machine et vous comprendrez mieux
l’impact de ce type d’attaque.

Plus spécifiquement, les prises d’otage de données (en bas à droite du
schéma) ont augmenté ces deux derniers mois avec de nouvelles variantes
_qui apparaissent
<http://blog.fox-it.com/2015/09/07/t...> _
régulièrement.

Le bulletin MS15-095
corrige le
navigateur Microsoft Edge et si vous utilisez déjà Windows 10 il s’agit
d’un patch important à appliquer. Ce dernier résout quatre
vulnérabilités critiques, toutes déjà présentes dans l’« ancien »
navigateur Internet Explorer.

Quatre autres vulnérabilités pour Microsoft Office et Excel sont
résolues dans le bulletin critique MS15-099. En effet,
toutes autorisent l’exécution de code à distance lors de l’ouverture
d’un fichier malveillant. Pour ce faire, l’attaquant incite un
utilisateur à ouvrir ce type de fichier non sans les avoir au préalable
maquillés sous forme de contenu inoffensif et intéressant, qu’il
s’agisse d’un CV suite à une offre d’emploi publiée sur votre site, d’un
article sur un sujet qui vous intéresse, d’un abonnement gratuit ou
encore d’avantages réservés à certains de vos collaborateurs. Un récent
rapport d’incidents publié par Bitstamp fournit des détails intéressants
sur le niveau de personnalisation et de détails de ces attaques.

Côté serveur, le bulletin MS15-103
résout trois
vulnérabilités dans Exchange Server (toutes au niveau d’Outlook Web
Access) tandis que le bulletin MS15-096traite un
état de déni DoS dans Active Directory. Ces vulnérabilités seront
résolues dans le cadre de votre calendrier normal de déploiement de
patches si vous exécutez ces services.

Les bulletins MS15-100, MS15-101 et MS15-102 résolvent des
vulnérabilités dans Windows Media Center, .NET et Windows Task Manager.
Elles sont toutes classées comme importantes car elles ne peuvent être
exploitées que si l’attaquant est déjà installé sur la machine. Là
encore, votre programme de patches standard devrait vous permettre
d’éradiquer ces vulnérabilités.

Concernant Adobe, aucune mise à jour de Flash ce mois-ci, sauf pour
Shockwave (APSB15-22.
C’est bien la première fois depuis octobre 2013, peut-être grâce aux
modifications apportées à Flash qui rendent son exploitation plus
difficile et à un _partitionnement qui évite le débordement.