Patch Tuesday Janvier 2016

Analyse publiée par Wolfgang Kandek, CTO de Qualys, Inc. dans The Laws of Vulnerabilities Dernière minute : l’éditeur Kaspersky, auquel est attribuée la découverte de MS16-006, la vulnérabilité critique qui affecte Silverlight, vient de publier son propre récit de la découverte de cette faille. Une histoire instructive qui évoque les « standards » de programmation et de la faille de sécurité de Hacking Team. Plus d’informations sur le post publié sur leur blog. Kaspersky explique clairement que cette vulnérabilité est attaquée en aveugle et qu’il s’agit d’une véritable vulnérabilité 0-day. Ce qui place MS16-006 en première place de notre liste de priorités. Vérifiez vos installations pour voir si Silverlight est installé sur vos systèmes et corrigez la faille au plus tôt.Le premier Patch Tuesday de 2016 est petit par son nombre de bulletins mais grand par sa portée et son intensité. En effet, six des neuf bulletins sont classés critiques, y compris ceux concernant le noyau Windows et Office. De plus, des produits assez importants sont en fin de vie et leur ultime patch est publié aujourd’hui. Microsoft arrête en effet le support de tous les anciens navigateurs de chacune de ses plates-formes et n’assurera plus désormais que le support du navigateur le plus récent sur chaque version du système d’exploitation.Autrement dit :

  • Internet Explorer 11 pour Windows 7, 2008R2, 8.1, 2012R2, RT et Windows 10
  • La dernière mise à jour pour IE8, 9 et 10 est publiée aujourd’hui dans le bulletin MS16-001 et ne sera plus assurée ensuite
  • Internet Explorer 10 pour Server 2012
  • Internet Explorer 9 pour Vista SP2 et Server 2008
    • Le support de IE7 et IE8 n’est plus assuré.

IE7 et IE8 perdent donc tout support alors que le support de IE9 et IE10 n’est assuré que pour certaines plates-formes propriétaires spécifiques. Le support d’IE devient donc plus facile à assurer pour Microsoft, mais le travail de migration du service informatique va s’alourdir, ce dernier étant chargé d’installer la toute dernière version des navigateurs. À moyen terme, la plate-forme deviendra certes plus performante et plus fiable, mais, à court terme, il faut s’attendre à des expositions supplémentaires aux vulnérabilités, dans la mesure où les navigateurs propriétaires ne seront plus mis à jour. Microsoft donne plus d’informations sur sa page de support : https://support.microsoft.com/en-us/lifecycle#gp/Microsoft-Internet-ExplorerPatches MicrosoftMS16-005 est a patcher très rapidement, du moins pour les utilisateurs sous Vista, Windows 7 ou Server 2008. En effet, sur ces systèmes, CVE-2016-0009 déclenche une exécution de code à distance (RCE), de plus cette vulnérabilité a été divulguée publiquement. Sur les systèmes d’exploitation plus récents, Windows 8 et Windows 10, la faille est non applicable ou juste classée importante.MS16-004 est notre seconde priorité. Ce bulletin résout six vulnérabilités sous Microsoft Office qui permettent aux pirates d’exécuter du code à distance (RCE). Il est classé « critique » par Microsoft, ce qui est inhabituel pour un bulletin Office. La vulnérabilité classée critique CVE-2016-0010 est présente dans toutes les versions d’Office, de 2007 à 2016, même sous Mac et RT.Viennent ensuite Internet Explorer (MS16-001) et Microsoft Edge (MS16-002). L’un et l’autre sont classés critiques puisqu’un pirate peut contrôler la machine visée en exploitant le navigateur via une page Web malveillante. Les deux bulletins traitent seulement deux vulnérabilités, ce qui est assez inhabituel, du moins pour Internet Explorer, navigateur pour lequel nous avions pris l’habitude de voir traiter plus de 20 vulnérabilités.MS16-006, le dernier bulletin critique, concerne Silverlight et corrige une vulnérabilité.MS16-010 est une vulnérabilité côté serveur dans Microsoft Exchange. Il résout quatre vulnérabilités au sein du module OWA d’Exchange qui peuvent provoquer des fuites d’information et l’exécution de script suite à la visualisation d’un e-mail.MS16-009 a été ignoré par Microsoft. Apparemment, la publication de ce bulletin a été reportée le temps de procéder à des tests supplémentaires.Adobe et OracleAdobe publie également ses mises à jour à l’occasion de ce Patch Tuesday et diffuse aujourd’hui APSB16-02 pour Adobe Reader. Cette mise à jour résout des vulnérabilités critiques mais les classe toutes en niveau « 2 » sur l’échelle de l’exploitabilité, c’est-à-dire qu’un patch sera disponible dans les 30 prochains jours. Aucune mise à jour n’est publiée aujourd’hui pour son composant logiciel le plus attaqué, le lecteur Flash. Ou disons plutôt que sa mise à jour de janvier 2016 a été publiée en avance, fin décembre 2015. Intéressez-vous en urgence à APSB16-01 si ce n’est pas encore fait. L’une des vulnérabilités étant attaquée en aveugle, Adobe a été contraint de publier cette mise à jour avant la date prévue.Quant à Oracle, l’éditeur prévoit de publier ce mois-ci sa mise à jour trimestrielle, en l’occurrence mardi 19 janvier. Restez à l’affût de la nouvelle version de Java, MySQL et de sa base de données d’entreprise.