Arrivé, il y a un peu plus d'un mois, le navigateur Microsoft Edge a reçu un ensemble de correctifs de sécurité de niveau critiques. Dans le cadre de son habituelle livraison mensuelle de rustines, auparavant connue sous le nom de Patch Tuesday, Microsoft a publié un bulletin critique, MS15-05, avec quatre correctifs couvrant plusieurs vulnérabilités dans le navigateur livré avec Windows 10. Depuis un mois, Microsoft a publié un total de 12 rustines pour Edge couvrant 56 vulnérabilités. Cinq failles ont été jugées comme- critique, ce qui signifie qu'elles doivent être corrigées dès que possible.
En plus de son navigateur Edge, les patchs de ce mois couvrent des vulnérabilités dans Internet Explorer, Windows, Office, Exchange, le framework .NET, la machine virtuelle Hyper-V, Active Directory, et Skype for Business.
Nouveau navigateur mais anciennes failles
Depuis plusieurs mois, Microsoft présente Edge comme son navigateur de nouvelle génération pour Windows, destiné à remplacer Internet Explorer au fil du temps. Mais les vulnérabilités d’Edge divulgués ce mois-ci par Microsoft ont également été trouvés dans Internet Explorer, (MS15-094 par exemple), a souligné Wolfgang Kandek, directeur de la technologie pour la firme de sécurité informatique Qualys. La nouvelle génération doit donc encore beaucoup à l’ancienne. Les doublons montrent le chevauchement de code entre Edge et IE, ce qui indique que l'équipe de développement d’Edge a réutilisé au moins une partie du code d’IE, précise le chercheur en sécurité. « Quelqu'un pourrait vous attaquer, si vous avez Internet Explorer ou Edge, en utilisant une page web spécialement conçue», a déclaré M. Kandek.
Mais le fait qu’Edge affiche moins de vulnérabilités qu’IE (17 ans déjà) ce mois-ci, montre que les efforts de Microsoft pour construire un navigateur plus sûr semblent porter ses fruits, ajoute M. Kandek. Ce la montre aussi combien il est difficile d'écrire un logiciel sans erreur de code et à l'abri des assaillants, a-t-il dit. Parce que Windows 10 n'a pas encore été largement installé dans les entreprises, la correction des failles d’Edge n’est pas une priorité pour les administrateurs. Ils doivent par contre s’attarder sur les correctifs MS15-097 et MS15-099, qui décrivent un certain nombre de vulnérabilités critiques trouvées dans Office 2007 et 2010, conseille Amol Sarwate, directeur technique chez Qualys. « Il existe déjà des attaques » qui utilisent ces vulnérabilités. Beaucoup de ces failles sont exploitable à distance, ce qui signifie que l'utilisateur n'a besoin que d'ouvrir un document Excel ou Word malveillant, et le code peut s’exécuter et lancer des actions au sein du poste de travail à l'insu de l'utilisateur.
2 autres failles dans Exchange et active Directory
Les entreprises utilisant Microsoft Exchange et Active Directory devraient également jeter un oeil attentif aux bulletins MS15-096 et MS15-103. La première vulnérabilité pourrait permettre à un attaquant de modifier les fichiers d'un utilisateur via le client Outlook Web Access (OWA). La faille Active Directory rend le logiciel vulnérable à une attaque par déni de service (DoS). Active Directory est typiquement une application critique pour les entreprises. Elle garde la trace de tous les comptes d'utilisateurs, et elle n’est généralement pas exposée aux menaces Internet. Mais les administrateurs devraient rester vigilants et la patcher sans attendre.
« Si quelqu'un entre par effraction dans votre réseau, Active Directory peut être la première chose qu'ils essayeront d'attaquer », a déclaré M. Sarwate.
Cette année, Microsoft a publié 105 bulletins, et Qualys estime que ce nombre atteindra 145 d'ici la fin de l'année. Cela représente une hausse si on considérer les dernières années. En 2014, Microsoft a publié 106 bulletins et 100 en 2011. « Je ne pense pas que les logiciels soient de plus en plus vulnérables», a déclaré M. Kandek. Un nombre croissant de vulnérabilités sont découvertes par des chercheurs et des hackers qui peuvent croiser les failles sur plusieurs générations de logiciels. « C’est un bon indicateur de l'importance accordée à la sécurité »a déclaré M. Kandek.