Jeune entreprise de réparation informatique à Longueuil

Vous avez une question ? Appelez-nous au 514-312-1522

Patch Tuesday de mars : plus de 130 failles corrigées



Après le report du patch tuesday de février, Microsoft a envoyé une solide quantité de correctifs comportant 8 bulletins critiques sur les 17 communiqués émis, sans compter les correctifs liés aux outils d’Adobe. Du boulot à l’horizon se présente pour les équipes IT dans les entreprises, après un Patch Tuesday absent au mois de février.

 

Comme on pouvait s’y attendre, après le report par Microsoft de sa mise à jour de sécurité de février, celle de mars est plutôt étoffée. L’éditeur a publié hier, 2e mardi du mois, une synthèse listant 17 bulletins de sécurité couvrant un total de 134 failles. Parmi ces bulletins, l’un d’entre eux porte sur Adobe Flash. Sur l’ensemble, 8 rapports décrivent des lacunes de la plus haute importance permettant d’exécuter du code à distance. Les autres sont qualifiés d’importants. Pour les équipes de sécurité, c’est le communiqué MS17-013 associé à la correction du composant Graphics (Windows GDI) qui constitue la priorité la plus élevée. Parmi les vulnérabilités identifiées, la plus grave prête le flanc à une exécution de code à distance si un utilisateur visitait un site web ou ouvrait un document spécifiquement conçus pour les piéger. La mise à jour s’applique à Windows, Office, Skype Enterprise, Lync et Silverlight, informe Microsoft.

 

Cette faille «zero day (identifiée CVE-2017-0005) est activement abusée, précise Amol Sarwate, directeur de l’ingénierie chez Qualys, dans son billet mensuel. “Elle pourrait être bientôt incorporée à des kits d’exploits utilisant Silverlight comme vecteur d’attaque comme cela a été vu par le passé”, pointe l’expert en sécurité. Selon lui, la priorité suivante doit aller à la mise à jour MS17-012 qui corrige Windows. En cause, une lacune qui permettrait à des serveurs SMB malveillants de contrôler un client essayant de se connecter. Du côté poste de travail, trois failles critiques (CVE-2017-0008, CVE-2017-0037, CVE-2017-0065) concernent les deux navigateurs web de Microsoft, IE et Edge. Ils sont exposés si un utilisateur consulte une page hostile sur la toile hébergée par un attaquant. Parmi les correctifs à appliquer rapidement, Amol Sarwate cite ensuite le rapport MS17-014 portant sur Office dont l’une des vulnérabilités était publique.

 

Microsoft corrige 134 failles

 

(Crédits photo: lemondeinformatique.fr, betanews.com)

 

Des failles critiques dans IIS, Hyper-V et Exchange

 

Du côté serveur, Exchange et IIS sont mentionnés dans les bulletins MS17-015 et MS17-016 sur des vices qui les exposent lors des connexions à Internet. L’une d’elles affecte Exchange Outlook Web Access (OWA). En cas d’exploitation, ce dernier ne parviendrait pas à traiter les requêtes web correctement et un attaquant pourrait démarrer des scripts ou injecter du contenu. Les deux autres vulnérabilités critiques touchent Windows Hyper-V (cf bulletin MS17-008), qui pourrait partir du code arbitraire en cas d’offensive, et Active Directory Federation Server (MS17-019). Ce dernier pourrait divulguer des informations sensibles si un assaillant lui envoyait des requêtes spécifiques. Pour les communiqués classés importants, la mise à jour de sécurité de mars en comporte 9 autres, notamment pour Office, Exchange Server et IIS.

 

À l’automne 2016, Microsoft avait publié qu’il comptait remplacer, à partir de février 2017, ses bulletins de sécurité conventionnels par son portail Security Updates Guide. Celui-ci, ouvert en bêta depuis novembre, permet d’accéder à une base de données de documents de soutien. Les utilisateurs peuvent alors trouver des renseignements sur les failles détectées par plusieurs truchements : tri par CVE (Common Vulnerabilities and Exposures), numéros de KB (knowledge base), produits ou date de publication. Certains analystes se sont demandé si les problèmes rencontrés par l’éditeur de Redmond sur la distribution du Patch Tuesday de février pouvaient être liés à cette nouvelle structure, mais l’entreprise n’a transmis aucune information à ce sujet. De plus, la synthèse des bulletins de sécurité de mars 2017 qu’il a publiée ne réfère pas à un éventuel changement apporté aux révélations ultérieures, indique le directeur de l’ingénierie de Qualys.

 

Source : Lemonde Informatique

Share:
Live Chat Software