Quatre des 16 mises à jour sont jugées « critiques », soit le plus haut degré en terme de menace dans l'échelle de notation à quatre niveau de Microsoft, 10 autres sont qualifiées d' «importantes », soit au deuxième rang, alors que la paire restante est jugée «modérée». Comme a son habitude, Microsoft a détaillé le contenu de ses mises à jour avant la livraison prévue pour le mardi 12 octobre à 1H00 Eastern Time, indiquant que neuf d'entre elles pourraient être exploitées par des attaquants pour injecter du code malveillant dans PC. L'éditeur qualifie souvent les bugs susceptibles d'être utilisés pour exécuter du code à distance - les plus dangereux - comme importants, quand les éléments vulnérables ne sont pas activés par défaut, ou quand d'autres fonctions, comme les mesures défensives de type ASLR et DEP, peuvent protéger certains utilisateurs.
La série de patchs de la semaine prochaine représente un record à tout point de vue. Les 16 mises à jour - désignées sous le terme de bulletins ou avis par Microsoft - sont un record, parce qu'elles doublent celui déjà élevé d'août 2010. Les 49 correctifs dépassent largement le record des 34 mises à jour livrées au cours d'un seul mois, déjà atteint en octobre 2009 et répété en juin et en août derniers. Microsoft a alternativement livré des grosses et des petites mises à jour, les plus grosses étant généralement réservées aux mois pairs, si bien que le nombre élevé de mises à jour d'octobre ne devrait pas surprendre. En août, par exemple, Microsoft a émis 14 bulletins pour corriger 34 vulnérabilités. La série de septembre comprenait cependant 9 bulletins fixant 11 failles. « J'ai une théorie sur la taille élevée de la mise à jour d'octobre, » a déclaré Andrew Storms qui fait remarquer que Microsoft avait publié 13 bulletins et corrigé 34 vulnérabilités ce même mois l'année passée, livré 12 mises à jour et fixé 21 failles en octobre 2008. « C'est la fin de l'année, la plupart des entreprises verrouillent les deux derniers mois où elles font leur bilan commerciaux et financiers. Elles ne mettent pas leurs systèmes à jour, » a t-il expliqué. « Douze des 16 bulletins concernent les éditions desktop ou serveur de Windows, et parfois les deux. Deux concernent Office - Word et Excel, en particulier - et patchent une ou plusieurs vulnérabilités identifiées dans le format de fichier des applications, » a encore détaillé Andrew Storms. L'un des patchs de sécurité règle un problème dans SharePoint, la suite logicielle collaborative entreprise de l'éditeur. Selon la notification rendue publique, la mise à jour de SharePoint est liée à Office Web Apps qui comprend les versions en ligne de Word, Excel, PowerPoint et OneNote.
Windows 7 et Windows Server 2008 R2 également patchés
A part comptabiliser les mises à jour que les utilisateurs auront à appliquer, Andrew Storms a également remarqué que plusieurs d'entre elles s'appliquaient aux versions les plus récentes des systèmes d'exploitation de Microsoft, Windows 7 et Windows Server 2008 R2. Toutes deux ayant été corrigées à maintes reprises depuis leur introduction l'an dernier. Neuf des mises à jour de Windows à paraître mardi prochain concernent Windows 7 - dont trois patchs critiques - et Windows Server 2008 R2 recevra neuf mises à jour, dont deux critiques. Microsoft a toujours présenté Windows 7 comme étant l'OS le plus sûr jamais créé, incitant même les utilisateurs de Windows XP à abandonner ce système lancé il y a neuf ans. Au final, lors du le prochain Tuesday Patch, XP n'est concerné que par huit des 13 bulletins, et par deux patchs critiques.
La mise à jour importante d'Internet Explorer concerne IE6, IE7 et IE8. Microsoft n'a pas dit si elle mettrait à jour également IE9, sortie en version beta il y a trois semaines, mais selon Andrew Storms, « cette mise à jour est aussi prévue. » Microsoft a corrigé IE tous les mois impairs pendant un période, et les derniers correctifs pour le navigateur datent d'il y a deux mois.
Pas d'informations sur
L'éditeur n'a pas précisé si les mises à jour de la semaine prochaine incluraient des correctifs pour bloquer les vulnérabilités susceptibles d'être exploitées par des attaques utilisant le détournement de DLL. Celles-ci utilisent les applications Windows pour charger des fichiers malicieux de type DLL (Dynamic Link Libraries) sur les PC, lesquels sont ensuite exécutés automatiquement. Plusieurs éditeurs ont corrigé leurs programmes pour remédier au détournement de DLL, mais Microsoft a refusé de confirmer si l'une de ses applications étaient vulnérables, et si oui, laquelle. Cependant, les chercheurs ont fait valoir que IE, Word, PowerPoint et un certain nombre de programmes Windows moins connus développés par Microsoft présentaient des failles et devaient être mis à jour. « Même si on exclus les correctifs pour les DLL, les mises à jour de la semaine prochaine vont préoccuper les administrateurs, » a déclaré Andrew Storms. « Elle ne semble pas compliquée, » a t-il dit. « Il n'y a par exemple aucune mise à jour d'Exchange, de SQL Server ou de IIS. Mais elle est importante en taille... encore une fois. Elle sera lourde à mettre en route pour les entreprises qui testent les mises à jour avant de les déployer. »
D'autres éditeurs ont récemment publié des mises à jour importantes. Comme Adobe, par exemple, qui vient de livrer 23 patchs pour son Reader PDF cette semaine. « Je continue à surveiller de près le nombre élevé de mises à jour de sécurité publiées par Apple, » a déclaré Andrew Storm. « Ensuite, je regarde du côté de Microsoft et je me rends compte que je ne peux pas leur laisser de répit ce mois-ci. »
Microsoft tuesday patch: L'énorme paquet d'octobre atteint (encore) des records
0
Réaction
Microsoft a annoncé qu'elle livrera la semaine prochaine un nombre record de 16 mises à jour de sécurité pour corriger 49 vulnérabilités dans Windows, Internet Explorer (IE), Office et SharePoint. Andrew Storms, directeur des opérations de sécurité chez nCircle Security, a qualifié cette mise à jour de « massive, encore une fois. »
Newsletter LMI
Recevez notre newsletter comme plus de 50000 abonnés
Suivre toute l'actualité
Newsletter
Recevez notre newsletter comme plus de 50 000 professionnels de l'IT!
Je m'abonne
Commentaire