Mise à jour de sécurité Microsoft d’Octobre 2016 : 10 bulletins et 4 zero-days

La mise à jour de sécurité de Microsoft du mois d’Octobre 2016 a inauguré le nouveau déploiement mensuel des mises à jour de sécurité avec 10 bulletins et 5 alertes critiques signalées.

Les parties critiques de MS16-118 à MS16-127 sont toutes des bugs de type RCE (Remote Code Execution), affectant les navigateurs internet Edge et Internet Explorer, le GDI Windows, Microsoft Office, et Windows Video Control. Vous trouverez également un fix pour un bug RCE au niveau d’Adobe Flash Player.

Les 5 bulletins sur lesquelles il est important de se focaliser sont :

MS16-118 : Mise à jour de sécurité cumulative pour Internet Explorer

Un bug RCE au niveau d’Internet Explorer, qui permet à un hacker de prendre le contrôle d’un PC, en incitant un utilisateur à visiter une page web spécifique. Ce bug est particulièrement critique pour les utilisateurs connectés en tant qu’administrateur.

MS16-119 : Mise à jour de sécurité cumulative pour Microsoft Edge

Bug similaire à celui décrit ci-dessus, mais concernant le navigateur Edge sous Windows 10.

MS16-120 : Mise à jour de sécurité pour Microsoft Graphics Component

Il s’agit d’un bug RCE affectant le Framework .NET, Microsoft Office, Skype pour entreprises, Silverlight et Microsoft Lync.

MS16-121 : Mise à jour de sécurité pour Microsoft Office

Un bug RCE qui peut donner le contrôle d’un PC à un cybercriminel, en incitant à l’installation d’un fichier RTF malveillant.

MS16-122 : Mise à jour de sécurité Microsoft Video Control  

Un bug au sein de Video Control, qui peut permettre à un hacker de prendre le contrôle d’un PC, si la victime potentielle a été persuadée d’ouvrir un fichier ou un programme.

Ceux d’entre vous qui utilisez Adobe Flash Player seront certainement intéressés par l’installation de la mise à jour sécurité ci-dessous :

MS16-127 : Mise à jour de sécurité pour Adobe Flash Player

Existe-il des failles zero-days ?

5 bugs parmi les bulletins diffusés (identifiés avec des numéros CVE) avaient au départ la désignation “0” dans l’index d’exploitabilité de Microsoft, ce qui signifie que la firme connait l’existence d’un exploit contre elle.

Ensuite le numéro a été modifié et transformé avec un “4”, après que l’une des vulnérabilités au sein de MS16-119 ait été déclassée de “0” à “1”, signifiant tout simplement “exploitation probable”.

Certains commentateurs interprètent le “0” comme la signification que le bug en question est un zero-day, la catégorie d’exploits la plus sérieuse : à savoir un bug qui est déjà en cours d’utilisation à des fins malveillantes, et pour lequel aucun correctif n’est encore disponible.

Microsoft défini l’index 0 d’exploitation ainsi :

Cette classification signifie que Microsoft est au courant qu’un échantillon de cette vulnérabilité est en cours d’exploitation. Ainsi, les utilisateurs qui auront passé en revue les bulletins de sécurité et déterminé s’ils étaient applicables à leurs environnements, pourront traiter la situation de manière urgente et prioritaire.

Cependant, Microsoft met un Index 0 à tous les exploits qui décrits comme “connus publiquement : non “, ainsi il n’est pas clair s’ils existent à un niveau confidentiel en tant que preuves de concept, ou bien s’ils sont bien présents dans la nature et impliqués dans de véritables attaques.

Est-ce que ces vulnérabilités zero-days méritent d’être patchées ?

Nous avons demandé à l’un de nos experts sécurité chez Sophos, qui a répondu ce qui suit :

Essayer d’éviter de patcher seulement si les cybercriminels sont déjà en train d’utiliser l’exploit, ou bien seulement si vous êtes certains qu’un expert en sécurité est déjà en train de traiter cette vulnérabilité, peu importe, patchez de toutes les façons. On les appelle des vulnérabilités, pas juste des bugs, et ce pour de très bonnes raisons.

Mise à jour de sécurité d’un genre nouveau

Le mois d’octobre était aussi le premier mois durant lequel Microsoft a mis à disposition une mise à jour de sécurité pour tous ces produits. Jusqu’à maintenant, seuls les administrateurs pouvaient installer des patchs partiels, ce qui signifie que vous pouviez être en sécurité vis-à-vis d’attaques récentes, mais vous pouviez rester vulnérables concernant d’autres plus anciennes.

Aujourd’hui, c’est tout ou rien.

Un avantage est que ces déploiements vont générer au fur et à mesure des mises à jour de sécurité cumulatives plus simples. En effet, quiconque mettra à jour son ordinateur n’aura à installer que la dernière mise à jour de sécurité en date, plutôt que d’interminables séquences de patchs, vous faisant faire par la même occasion un bond en arrière conséquent.

Follow @ SophosFrance //platform.twitter.com/widgets.js
Partagez Mise à jour de sécurité Microsoft d’Octobre 2016 : 10 bulletins et 4 zero-days : http://wp.me/p2YJS1-30F
Billet inspiré de Microsoft’s October 2016 patch rollup: 10 bulletins, 4 zero-days, par John E Dunn, Sophos NakedSecurity.