Le noyau Windows est l’un des principaux bénéficiaires du Patch Tuesday que Microsoft a publié ce 10 décembre.
Avec 11 bulletins de sécurité, dont 5 classés critiques, la livraison est plus volumineuse que celles d’octobre (8 bulletins, dont 4 critiques) et de novembre (8 bulletins, dont 3 critiques). L’étendue des correctifs est d’autant plus éclectique. Sur la fiche de soins figurent en l’occurrence la suite Office (versions 2000 à 2013), l’outil collaboratif SharePoint, le navigateur Internet Explorer, le serveur Microsoft Exchange ou encore des outils pour développeurs.
L’exploitation de la plupart des failles documentées peut donner lieu à l’exécution de code à distance et/ou à une élévation des privilèges d’administration sur la machine visée. Illustration avec cette vulnérabilité répertoriée 2909158. Liée à la bibliothèque d’objets de l’exécutable de Microsoft Scripting, elle affecte de nombreuses versions du système d’exploitation Windows : XP Familial et Professionnel, Vista (32 et 64 bits), Windows Server 2008 (ainsi que la R2 et la version Itanium) et 2012, Windows 7 (SP1) et Windows 8.x/RT.
Citée à travers trois bulletins, la suite Office reste un vecteur d’intrusion majeur pour les pirates informatiques, via plusieurs trous de sécurité en relation avec le composant Microsoft Graphics et la randomisation du format d’espace d’adresse (ASLR). Internet Explorer reste aussi une cible privilégiée et pour cause : toutes ses déclinaisons sont concernées, depuis IE6 sous Windows XP jusqu’à IE11 sous Windows 8.1.
En diffusant ce Patch Tuesday, Microsoft porte à 106 le nombre de correctifs de sécurité déployé par ses soins en 2013. C’est sensiblement plus qu’en 2012 (83 correctifs)… et autant qu’en 2010. Un grand nombre de failles zero-day (publiquement exploitables) ont animé l’année. Particulièrement celes touchant le navigateur IE (corrigé en janvier, mars et octobre).
Comme le note Silicon.fr, deux vulnérabilités restent actuellement ouvertes : la première se trouve dans Windows et Microsoft Office, au niveau de la bibliothèque pour le format graphique TIFF. Microsoft a prévu de la résorber en janvier 2014. Le correctif pour la seconde – qui réside au sein du noyau Windows – n’est pas encore finalisé. La meilleure défense reste ainsi de « neutraliser le vecteur d’attaque actuellement connu, à savoir une vulnérabilité corrigée dans Adobe Reader ». Mise à jour indispensable du lecteur, donc.
—— A voir aussi ——
Quiz ITespresso.fr : connaissez-vous bien Microsoft ?
Crédit photo : Maksim Kabakou – Shutterstock.com
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…