La mise à jour livrée ce mois-ci par Microsoft concerne essentiellement les serveurs Exchange. Celle-ci corrige des failles critiques affectant toutes les versions d'Exchange Server - Exchange Server 2007 Service Pack 3, Exchange Server 2010 SP 2 et 3, plus les mises à jour cumulatives 1 et 2 d'Exchange Server 2013.
Selon Tommy Chin, ingénieur du support technique chez Core Security, la fiabilité d'Exchange est généralement considérée comme acquise. « Cependant, que se passerait-il si brusquement toutes les communications e-mail étaient compromises ? », demande-t-il. « Pour la plupart des entreprises, ce scénario est tout simplement inacceptable en raison des informations sensibles échangées par messagerie électronique aujourd'hui ». Même écho chez Ross Barrett, directeur senior de l'ingénierie de sécurité chez Rapid7. « S'il y a une possibilité d'exploiter la faille à distance sans interaction de l'utilisateur, alors le risque potentiel de propagation de virus existe et il faut que la vulnérabilité soit corrigée en priorité », a-t-il estimé.
Une correction sur Windows, plus critique pour certains
Une autre alerte critique, estampillée Bulletin 1, affecte les versions actuelles des systèmes d'exploitation Windows 8 (et Windows RT) et Windows Server 2012, ainsi que les versions antérieures jusqu'à Windows XP et Windows Server 2003. Microsoft n'a pas donné de détails précis sur la nature de ces vulnérabilités, mais étant donné qu'elles sont qualifiées de critiques, cela signifie qu'elles pourraient permettre l'exécution de code à distance sans action de l'utilisateur. L'auto-propagation de malwares et l'exécution de code sans avertissement ou alertes correspondent à cette catégorie. C'est ce qui se passe par exemple quand un utilisateur ouvre une page web infectée avec son navigateur Internet ou quand il consulte un email malveillant.
« Pour ma part, le Bulletin 1 est le plus critique », a déclaré Ken Pickering, directeur de l'ingénierie chez Core Security. « La dernière fois que j'ai eu affaire à une exécution de code à distance de ce calibre dans Internet Explorer, un malware est venu exploiter la faille peu de temps après. Les pirates informatiques ont acquis de bonnes techniques pour exploiter ces vulnérabilités d'IE dans des attaques basées sur le Web », a-t-il ajouté. Le Bulletin 1 affecte les versions 6 à 10 d'Internet Explorer présentes sur tous les systèmes d'exploitation Windows, de Windows XP à Windows 8, y compris la version ARM, Windows RT. Il concerne également Windows Server 2003, 2008, 2008 RR2 et 2012.
Trois bulletins critiques sur huit
Trois des huit bulletins du Patch Tuesday du mois d'août sont qualifiés de critiques, c'est-à -dire que les vulnérabilités peuvent faciliter l'exécution de code à distance sur les machines des victimes. Les failles décrites dans les autres bulletins sont qualifiées d'importantes. Deux d'entre elles permettent à des attaquants d'usurper les privilèges, deux peuvent être exploitées dans des attaques par déni de service et une pourrait permettre la fuite d'informations sur la machine attaquée.
Paul Henry, expert en sécurité et en criminalité informatiques chez Lumension note que, par rapport à l'année dernière à la même époque, Microsoft a émis 7 bulletins de plus, mais cette année, le nombre de failles critiques a diminué de 10.
Patch Tuesday : Microsoft livre des correctifs critiques pour Exchange Server
Les entreprises vont sans doute se précipiter sur le Patch Tuesday de ce mois-ci, lequel vient corriger des vulnérabilités affectant toutes les versions de Microsoft Exchange Server. La livraison comporte une autre alerte critique affectant plusieurs versions de Windows (8, RT, XP) et Windows Server (2012 et 2003).