Si avec 8 bulletins de sécurité le Patch Tuesday de juin de Microsoft n’est pas à la hauteur de celui de mai (qui comptait 13 bulletins), il n’en reste pas moins relativement conséquent. Deux bulletins sont classés comme « critiques » tandis que les six autres restent « importants ».
Le plus critique et urgent à traiter d’entre eux concerne probablement le bulletin MS15-056 consacré à Internet Explorer qui comble 24 failles. De la 6 à la 11, toutes les versions du navigateur de Redmond sont affectées sous les différentes instances de Windows desktop (depuis Vista), Server (depuis 2003) et RT pour les tablettes Surface sous architecture ARM (y compris 8.1) en 32 comme 64 bit. Exploitées, certaines vulnérabilités permettent à l’attaquant d’exécuter du code à distance. Au-delà de son bulletin de sécurité, Microsoft profite de la mise à jour d’IE 11 pour combler l’ensemble de ces brèches pour renforcer la sécurité de son navigateur. De son côté, le CTO de Qualys, Wolfgang Kandek, note que IE est affecté de 20 failles de sécurité en moyenne mensuelle sur ces 12 derniers mois. Le mois de juin se situe donc au-dessus de la moyenne.
Le deuxième bulletin classé comme critique, le MS-057, concerne le lecteur Windows Media qui pourrait autoriser l’exécution de code malveillant à la lecture d’un fichier multimédia et permettre aux attaquants la prise de contrôle distante de la machine selon leurs droits système de l’utilisateur.
S’il convient évidemment de corriger ce bug, il sera probablement plus intéressant de se pencher sur le bulletin MS15-059 consacré aux suites Office 2007, 2010, 2013 et 2013 RT. Ces correctifs visent à combler les risques de prises de contrôle à distance dont pourrait être victime une machine dont l’un des logiciels de bureautique aurait ouvert un fichier spécialement conçu pour cela. Bien que classé comme important par Microsoft, l’application du correctif est prioritaire. « Le fait que l’on peut exécuter du code à distance, en regard de la facilité avec laquelle un attaquant peut convaincre la cible d’ouvrir un fichier joint grâce à l’ingénierie sociale en font une vulnérabilité à haut risque », estime Wolfgang Kandek.
Le reste des correctifs de juin vise à combler des risques d’élévation de privilèges dans les contrôles communs de Windows via le menu Développeur d’IE (qu’il suffit alors de désactiver), dans les services de fédération d’Active Directory (ADFS), dans Exchange Server ou encore au niveau du noyau de Windows.
Petite originalité du mois, l’incrémentation des bulletins de sécurité passe du MS15-057 au MS15-059. Le bulletin MS15-058 n’est visiblement pas encore disponible comme en témoigne cette page du site du TechNet de Microsoft qui n’explique pas cette « disparition ». Depuis le début de l’année, Microsoft a édité 63 bulletins de sécurité.
Lire également
Windows 10 signe la fin des Patch Tuesday sauf pour les entreprises
Navigateurs web : project Spartan devient Microsoft Edge
SSH bientôt supporté nativement sous Windows
Le Cesin s'inquiète du rachat d'importants éditeurs de solutions de cybersécurité par le fonds américain…
Dans son rapport sur l'état de l'internet en France, l'Arcep a inclus une section sur…
Les performances évolutives et les mécanismes de protection de la donnée offrent aux 335 médecins…
Salesforce a entrepris un benchmark des LLM sur des cas d'usage CRM. Comment l'a-t-il orchestré…
Kyutai a officialisé son IA vocale Moshi et en a ouvert une démo au public.…
Une API sans authentification a permis à des tiers de valider les numéros de téléphone…