Patch Tuesday Mars 2016

Analyse publiée par Wolfgang Kandek, CTO de Qualys, Inc. dans The Laws of Vulnerabilities

La diffusion du Patch Tuesday de mars 2016 arrive après une semaine chargée en raison de la conférence RSA USA 2016 où nous avons échangé sur les thèmes de la sécurité et de la confidentialité et participé à de nombreux débats autour du chiffrement et de son rôle dans la protection de la confidentialité et aussi de son impact sur l'application de la Loi. Jeudi dernier, nous nous sommes entretenus sur ces sujets avec M. McCaul, Président du Comité à la sécurité intérieure américaine. Il a déclaré que le Congrès est conscient des problèmes et qu'il planche sur une législation qui permettrait de trouver un équilibre entre confidentialité et accès aux données. Mardi dernier, nous avons organisé une séance de questions-réponses avec Rami Malek qui joue le rôle du cyber-justicier Elliot Alderson dans la série Mr. Robot. Rami nous a donné un aperçu du volume de travail qu'impliquent l'écriture, le jeu et la production pour que les scènes virtuelles soient aussi réalistes que possible. L'énorme affluence à cette session a confirmé le succès de la stratégie déployée par les producteurs.

 

Mais revenons à notre propos, à savoir le Patch Tuesday de mars 2016.

Microsoft publie 13 bulletins, dont 5 sont considérés comme critiques.

Ce mois-ci, la première place de notre classement revient au bulletin MS16-023 consacré à Internet Explorer. Ce dernier résout 13 vulnérabilités, toutes classées comme critiques. L'exploitation de ces vulnérabilités critiques créé la situation la plus dangereuse, en l'occurrence l'exécution de code à distance (RCE) qui donne à l'attaquant le contrôle complet de la machine ciblée. Ces attaques contre Internet Explorer proviendraient de sites Web malveillants créés à dessein ou de sites inoffensifs servant de vecteurs et contenant les exploits destinés à infecter les visiteurs habituels.

Si vous êtes sous Windows 10 et que vous avez opté pour le navigateur Edge, le bulletin MS16-024 fait partie de vos priorités. 11 vulnérabilités au total dont 10 critiques indiquent que les chercheurs en sécurité ont concentré leur attention sur Edge, qui a lentement perdu du terrain sur Internet Explorer en termes de vulnérabilités. En décembre 2015, nous en étions encore à 30 contre 15 et maintenant, en mars, à 13 contre 11.

Le prochain bulletin sur la liste est le MS16-029 qui contient une nouvelle version de Microsoft Word. Word est souvent utilisé pour véhiculer des exploits, à la fois dans des documents en ligne et dans des pièces jointes. Les vulnérabilités permettant à l'attaquant d'exécuter du code RCE pour contrôler les machines ciblées doivent être résolues dans les meilleurs délais.

Le groupe de vulnérabilités suivant concerne Windows Media Player (bulletin MS16-027), les polices OpenType (bulletin MS16-026) et la nouvelle visionneuse PDF Reader à partir de Windows 8 (bulletin MS16-028). Toutes ces failles sont critiques et facilitent l'exécution de code RCE. Elles s'attaquent toutes à des problèmes de formatage complexes, que ce soit dans le lecteur Windows Media Player avec le format vidéo MPEG, dans les polices OpenType avec une référence circulaire qui provoque une récursion ou dans la visionneuse PDF avec une vérification des limites qui fait défaut dans l'interpréteur PostScript. Le flot continu de vulnérabilités dans ces domaines indique le niveau de complexité des formats de médias que nous utilisons tous les jours.

Les bulletins restants résolvent des vulnérabilités classées comme « importantes ». Ces dernières entrent essentiellement en jeu lorsqu'une élévation de privilèges est sollicitée, une fois qu'une des vulnérabilités critiques a permis de s'introduire sur la machine ciblée. Vous devriez traiter ces vulnérabilités dans les 45 jours pour éviter ce type d'utilisation secondaire.

Microsoft n'est pas le seul éditeur à résoudre les problèmes de sécurité liés au format PDF. Adobe publie en effet une nouvelle version d'Adobe Reader dans sa mise à jour de sécurité APSB16-09 qui résout trois failles de sécurité critiques. Si vous utilisez Adobe Reader ou la suite Acrobat, il s'agit d'une priorité pour vous. Si vous suivez ces mises à jour, vous aurez remarqué l'absence de la mise à jour APSB16-08 (APS16-07 concernait Adobe Connect le mois dernier). Probablement une mise à jour de Flash reportée pour faire des tests supplémentaires ou y inclure un correctif de dernière minute pour une vulnérabilité en cours.

Et une première pour Apple ce mois-ci. Le célèbre client bit torrent « Transmission » a été infecté par un ransomware. Heureusement, ce client n'a été disponible en téléchargement que pour une durée de moins de 12 heures et Apple a rapidement révoqué son certificat de signature et mis à jour les signatures dans XProtect. Vérifiez néanmoins si Transmission 2.90 est sur votre réseau et isolez-le une fois découvert.

Aucune menace 0-Day ni vulnérabilité immédiatement exploitable ce mois-ci. Mais appliquez tous ces patches dès que possible et dans tous les cas. En effet, certains attaquants sont capables de convertir rapidement des vulnérabilités en exploits, souvent en moins de 10 jours.

categorie: