Patch Tuesday : Microsoft publie 9 bulletins de sécurité critiques et 8 importants
Pour l'édition de mars 2017

Le , par Stéphane le calme, Chroniqueur Actualités
Dans son patch tuesday, Microsoft a annoncé avoir colmaté des vulnérabilités dont 9 classées comme étant critiques et 8 classées comme étant importantes.

Les premiers bulletins concernent respectivement les navigateurs Internet Explorer et Microsoft Edge. Avec la mise à jour de sécurité cumulative d’IE, Microsoft corrige des vulnérabilités dans Internet Explorer dont la plus grave pourrait permettre l'exécution de code à distance si un utilisateur affichait une page web spécialement conçue à l'aide d'Internet Explorer. Un attaquant qui parviendrait à exploiter ces vulnérabilités pourrait obtenir les mêmes droits que l'utilisateur actuel. Si l'utilisateur actuel a ouvert une session avec des privilèges d'administrateur, un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle d'un système infecté. L'agresseur pourrait alors installer des programmes, afficher, modifier ou supprimer des données, ou créer des comptes dotés de tous les privilèges.

Le troisième bulletin concerne Windows Hyper-V et vient corriger des vulnérabilités dont la plus grave pourrait permettre l'exécution de code à distance si un attaquant authentifié sur un système d'exploitation invité exécutait une application spécialement conçue qui ferait en sorte que le système d'exploitation hôte Hyper-V exécute du code arbitraire. Les clients qui n'ont pas activé le rôle Hyper-V ne sont pas concernés.

Les bulletins critiques suivants concernent la bibliothèque PDF Microsoft Windows, le serveur SMB Microsoft Windows, Microsoft Uniscribe, Microsoft Windows, le composant Microsoft Graphics et enfin Adobe Flash Player. Tous ces correctifs nécessitent un redémarrage de la machine.

Il faut noter qu’un code d’exploitation de la vulnérabilité liée au serveur SMB Microsoft Windows a été dévoilé depuis le mois de février. Le PoC a été publié quelques jours avant que Microsoft ne publie le patch tuesday.

Le bogue de corruption de mémoire pourrait permettre à un attaquant distant et non authentifié de lancer une attaque par déni de service en faisant planter une machine infectée, d’après un avis publié par la base de données publique de vulnérabilités de l’université Carnegie Mellon qui date de février.

Parmi les mises à jour de sécurité importantes figure un bulletin concernant Microsoft Office, Microsoft Exchange Server, Windows IIS, le noyau Windows, les pilotes en mode noyau, Active Directory Federation Services, la Création de DVD Windows, Windows DirectShow et Microsoft XML Core Services.

Concernant la mise à jour Windows DirectShow, Microsoft explique que la vulnérabilité la plus grave pourrait permettre une divulgation d'informations si Windows DirectShow ouvrait du contenu multimédia spécialement conçu hébergé sur un site web malveillant. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait obtenir des informations permettant de compromettre davantage un système cible.

Pour le noyau Windows, une correction est apportée aux vulnérabilités dont la plus grave pourrait permettre une élévation de privilèges si un attaquant exécutait une application spécialement conçue.

Le bulletin Windows IIS apporte une correction à des vulnérabilités dont la plus grave pourrait permettre une élévation de privilèges si un utilisateur cliquait sur une URL spécialement conçue hébergée par un serveur Microsoft IIS Server concerné. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait potentiellement exécuter des scripts dans le navigateur de l'utilisateur afin d'obtenir des informations à partir de sessions web.

Source : bulletins de sécurité, base de données de vulnérabilités Carnegie Mellon

Voir aussi :

Google publie des détails sur une faille non corrigée d'IE et Microsoft Edge qui a été signalée en fin novembre


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :
Offres d'emploi IT
Responsable de lot / architecte fpga H/F
Safran - Ile de France - Éragny (95610)
Expert Technico Fonctionnel Sharepoint H/F
Safran - Ile de France - Corbeil (91)
Ingénieur développement logiciels temps réel embarqué H/F
Safran - Ile de France - Éragny (95610)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil