Microsoft publie le Patch Tuesday du mois de février
Qui corrige 21 failles de sécurité dans IE, .NET et Silverlight

Le , par CervoiseMD, Membre éprouvé
Microsoft publie le Patch Tuesday du mois de février, qui corrige 21 failles de sécurité

Le Patch Tuesday survient le deuxième mardi de chaque mois ; Microsoft publie des correctifs de sécurité à destination de ses clients. Les bulletins sont qualifiés Faible, Moyen, Important ou Critique.

Le second Patch Tuesday de 2012 comporte neuf bulletins (du MS12-008 au MS12-016) qui corrigent vingt-et-une vulnérabilités. Quatre sont qualifiées de "critiques" par l'éditeur et visent à corriger Internet Explorer (versons 6, 7 et 8), le framework .NET et Silverlight.

Les cinq autres bulletins sont jugés "importants" et impactent Windows (XP, Vista, Windows 7, Server 2003 et 2008 R2), Office et SharePoint Server 2010.

Les différentes failles permettent de prendre le contrôle d'un système à distance ou l'élévation de privilèges.

L'application des mises à jour de sécurité est primordiale, au cours du mois précédent, deux éditeurs ont rapportés que des vulnérabilités corrigées par Microsoft étaient exploitées dans la nature.

La vulnérabilité MS12-004 (exploitée via HTML_EXPLT.QYUA, TROJ_MDIEXP.QYUA et JS_EXPLT.QYUA) ainsi que la vulnérabilité CVE-2011-1980 corrigée par le MS11-073 (exploitée par Trojan.Activehijack).

Le code d'exploitation de la vulnérabilité CVE-2012-0003 est d'ailleurs disponible au sein du framework Metasploit.

Dernier point d'attention, les produits suivants ne seront plus supportés à partir du 10 avril 2012 :
  • Dynamics SL 7.0 Service Pack 2 ;

  • Vista Home ;

  • APP-V 4.6 for TSE Service Pack 0 (version RTM) ;

  • Visual Studio 2010 Service Pack 0 (version RTM).


Il est donc important pour les utilisateurs de ces logiciels de prévoir une migration rapide afin de disposer de produits supportés.

Références CVE des bulletins de février
CVE-2010-3138, CVE-2010-5082, CVE-2011-5046, CVE-2012-0010, CVE-2012-0011, CVE-2012-0012, CVE-2012-0014, CVE-2012-0015, CVE-2012-0017, CVE-2012-0019, CVE-2012-0020, CVE-2012-0136, CVE-2012-0137, CVE-2012-0138, CVE-2012-0144, CVE-2012-0145, CVE-2012-0148, CVE-2012-0149, CVE-2012-0150, CVE-2012-0154 et CVE-2012-0155.

Sources
Bulletin Microsoft du mois de février
Cycle de vie des produits Microsoft
Publication de Trend Micro sur l'exploitation du CVE-2012-0003
Fiche de Trojan.Activehijack chez de Symantec
Code d'exploitation de la vulnérabilité CVE-2012-0003 sur Metasploit


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Narann Narann - Membre habitué http://www.developpez.com
le 15/02/2012 à 19:29
XP? o_O Il y a toujours des mises a jour dessus?
Avatar de Michaël Michaël - Expert éminent http://www.developpez.com
le 15/02/2012 à 21:27
Oui jusqu'en 2014 (fin de support étendu)
Offres d'emploi IT
Expert sécurité en audit d'applications (H/F)
Société Générale - Ile de France - Val-de-Marne
Ingénieur sénior en développement mobile / projet innovation H/F
Safran - Ile de France - Hauts de Seine
Technical leader / moe perle (H/F)
Société Générale - Ile de France - Val de Marne

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil