Patch Tuesday : on démarre léger en janvier mais le danger serait ailleurs
La première tournée de bulletins de sécurité IT édité par Microsoft réserve peu de mauvaises surprises. En revanche, gare à IE et au certificat numérique tronqué.
Pour la première fournée Patch Tuesday, Microsoft prévoit de diffuser la semaine prochaine un lot de 7 bulletins de sécurité, incluant deux alertes qui ont passé le seuil critique et cinq classés dans la catégorie « important ».
Dans sa notification de pré-diffusion, la firme de Redmond met l’accent sur des failles affectant Windows XP SP3 et Windows Server.
Ces brèches pourraient permettre à des pirates de prendre le contrôle de machines tournant sous Windows.
Autre sujet de préoccupation qui sera réglé avec le prochain Patch Tuesday (diffusion prévue : le 8 janvier) : des vulnérabilités affectant Windows 7 et Server 2008 qui peuvent aboutir à la prise de contrôle à distance de systèmes.
« Une grande variété de logiciels seront mis à jour, y compris toutes les versions de Windows (Windows RT est affecté par quatre bulletins), Office, Sharepoint et System Center Operations Manager », précise Wolfgang Kandek, CTO de Qualys (spécialiste de la gestion des vulnérabilités), dans son nouvel aperçu du Patch Tuesday.
Mais, a priori, Microsoft zappera l’alerte critique de sécurité IT émise fin 2012 et qui touche son navigateur Internet Explorer, note TechWeek Europe.
Cette vulnérabilité de type « zero day » toucherait différentes versions du navigateur Web (IE 6,7 et 8).
Mais les déclinaisons Internet Explorer 9 et 10 seraient épargnées.
| Un faux certificat numérique d’origine turque sème le trouble |
| Parallèlement, Microsoft, Google et la Fondation Mozilla s’inquiètent de l’exploitation d’un certificat numérique émanant de TurkTrust. Le 24 décembre, Google a détecté détecté puis bloqué via Chrome un certificat numérique non autorisé pour les sites Web rattachés au domaine « .google.com ». L’enquête du groupe Internet mène à des branches (EGO.GOV.TR et e-islem.kktcmerkezbankasi.org) iées à une autorité de certification rattachée à TURKTRUST (le gouvernement turc à l’origine). Via les navigateurs Web, ce certificat tronqué pourrait servir à lancer des actions de phishing, des opérations de type « man-in-the-midlle » (interception de communications entre deux parties) ou de spoofing (usurpation d’adresses IP). En guise de protection, Microsoft précise dans un avis de sécurité qu’il va réactualiser la liste des certificats de confiance (Certificate Trust list, CTL) et compte fournir des précisions à travers un autre update pour éjecter ce certificat de tous les systèmes Windows. Tout en précisant que dans le cas de Windows 8, Windows RT, Windows Server 2012 et les smartphones tournant sous Windows Phone 8, le certificat douteux sera automatiquement révoqué. Pour les autres cas, passer par la case « Microsoft Windows Update ». |
Quiz : Hacking, phishing, spamming? La sécurité sur internet n’a pas de secret pour vous ? Testez vos connaissances.
(Credit photo : Shutterstock.com – Copyright : Oleksiy Mark)