Patch Tuesday : Microsoft livre un bulletin de sécurité plutôt dense

Sur les 8 bulletins, cinq sont qualifiés d’importance critique c’est à dire le plus haut niveau d’alerte de l’éditeur. Si un pirate exploitent ses vulnérabilités, il peut prendre le contrôle à distance d’un système infecté et exécuter du code malveillant.

Parmi les nouveaux patches, Microsoft propose un bulletin relatif à deux failles affectant le tableur Excel. Ces vulnérabilités permettaient à des pirates de réaliser des attaques de type « zero day » (se dit d’une attaque ayant lieu le jour même de la divulgation de la faille qu’elle exploite).

Microsoft précis néanmoins que les failles recensées dans ce bulletin concernent surtout les utilisateurs de la suite bureautique Office 2000. Les utilisateurs disposant de versions plus récentes se verront notifier une mise à jour avant le lancement d’une attaque potentielle.

D’autres patches d’ordre critique permettent de colmater des brêches dans Office, DirectX, Internet Explorer et le composant Windows HTTP Services.

En complément, Microsoft a diffusé un patch concernant sa passerelle ISA Server (appelée désormais Forefront Threat Management Gateway), du nom de la passerelle de sécurité destinée à protéger l’accès depuis et vers les réseaux d’entreprise. Ce correctif permet d’empêcher des attaques de type  token kidnapping (1). Les bulletins portant sur cette faille sont classés au niveau « important ».

Le dernier bulletin de catégorie « importance modérée » concerne une faille dans SearchPath (fonction de Windows pour les recherches pour un fichier dans un chemin d’accès spécifié). Elle pourrait servir à mener des attaques avec menaces mixtes (2) à partir de versions du navigateur Safari qui ne seraient pas mises à jour. Ce bulletin est considéré comme une menace « modérée ».

La plupart de ses failles étant inconnues auparavant ou étant déjà exploitées, elles pourraient donc être considérées comme potentiellement dangereuses, prévient Dave Marcus, en qualité de directeur de recherche senior chez McAfee Avert Labs.

« Alors que le monde est encore ébranlé par Conficker, Microsoft vient de liver aujourd’hui son plus gros paquets de bulletins de sécurité de l’année, incluant des correctifs qu’il est urgent de prendre en compte à propos de failles déjà exploitées », commente Dave Marcus. « Ce ne sera pas facile pour les responsables de sécurité IT, spécifiquement dans les grandes organisations. »

(1) Token kidnapping : programme d’exploitation permettant d’attaquer les systèmes Windows via les serveurs Microsoft IIS et SQL Server (attaque « Token Kidnapping »). Source : Cert-IST

(2)  Blended threat’ attack ou menace mixte : un code malveillant qui associe les possibilités de deux ou trois types de malware afin d’attaquer un système sur plusieurs fronts à la fois.

Adaptation d’un article de Vnunet.com intitulé Microsoft brings April shower of patches en date du 15 avril