Livrée hier, la mise à jour de sécurité mensuelle de Microsoft vient corriger 45 vulnérabilités pour le mois d'avril, dont trois sont publiquement connues et ciblées par des pirates. Elle inclut notamment un correctif pour la faille zero-day CVE-2017-0199 décrite en fin de semaine dernière par McAfee et FireEye et exploitée depuis janvier dernier. On a appris hier que des pirates cherchaient à en tirer parti pour installer le malware bancaire Dridex à travers une campagne de spams expédiés vers des millions de PC, notamment en Australie. L’exploitation de cette faille se faisant à travers une pièce jointe malveillante au format RTF qui peut être ouverte par Word, mais aussi par WordPad (l’éditeur de texte de Windows), un correctif pour cette vulnérabilité est également inclus dans la mise à jour de sécurité de l’OS.
Selon le traditionnel billet de commentaires publié chaque mois par Qualys sur le Security Update de Microsoft, la priorité suivante concerne la correction des navigateurs web, Internet Explorer et Edge. Ceux-ci contiennent plusieurs vulnérabilités (notamment cross-domain) permettant d’exécuter du code à distance. A travers l’une d’elles, il est possible de prendre des informations d’un domaine pour l’injecter dans un autre en contournant une barrière de sécurité importante. Microsoft signale qu’elle a déjà été exploitée, mais ne donne pas d’autres précisions à ce sujet.
Hyper-V et .Net vulnérables
Des failles critiques ont également été corrigées dans l’environnement de virtualisation Hyper-V inclus dans les versions 2008, 2012 et 2016 du système d’exploitation Windows Server, ainsi que dans Windows 8.1 et 10. Elles pourraient permettre à des applications de s’échapper d’une machine virtuelle et d’exécuter du code malveillant sur l’OS hôte.
L’environnement de développement .Net est également affecté d’une faille pouvant déboucher sur une prise de contrôle complète à distance d’un système exécutant un déploiement vulnérable du framework. Une autre mise à jour désactive par défaut le filtre EPS (encapsulated PostScript) dans Office par mesure de protection. Microsoft explique avoir été averti d’attaques ciblées limitées qui pourraient tirer profit d’une faille non corrigée dans ce filtre EPS.
Fin de support pour Windows Vista
Comme d’habitude, le patch Tuesday ce mois-ci comporte aussi des correctifs pour Flash Player d’Adobe, qui est associé à IE 11 et Edge. Cette mise à jour d’avril est également importante pour les utilisateurs de Windows Vista car elle marque la fin du support pour cette version de l’OS qui ne recevra plus de correctifs de sécurité après cette date.
Rappelons par ailleurs que Microsoft a modifié la présentation de cette mise à jour mensuelle en remplaçant ses anciens bulletins de sécurité par son portail Security Update Guide qui donne accès à une base de documents de support dans laquelle les utilisateurs recherchent les informations sur les correctifs à partir du numéro CVE (Common Vulnerabilities and Exposures), KB (knowledge base), par produits ou date de publication.