A l’occasion du Patch Tuesday de juin, Microsoft a publié 16 bulletins de sécurité corrigeant 44 vulnérabilités concernant Windows, Exchange Server, Office, Edge et Internet Explorer. Selement 5 de ces bulletins sont classés comme critiques et les 11 restants sont considérés comme importants. En à peine six mois, l’éditeur a mis en avant 81 bulletins de sécurité. Les projections de 160 bulletins pour l’année 2016 s’annoncent comme un record.
Pour ce mois-ci, les experts en sécurité alertent sur la mise en œuvre rapide du correctif MS16-071 qui implique une faille dans le serveur DNS de Microsoft pour Windows Server 2012 et 2012 R2. Un attaquant peut envoyer une requête spécifique à ce serveur DNS et exécuter du code de manière arbitraire, souligne la firme de Redmond. « Les entreprises qui exécutent leurs serveurs DNS sur la même machine que le serveur Active Directory, doivent être doublement conscientes du danger provoqué par cette vulnérabilité », constate Wolfgang Kandek, CTO de Qualys dans son analyse du Patch Tuesday.
Un autre bulletin critique, MS16-070, concerne Office où un pirate peut déclencher un exploit, référencé CVE-2016-0025, en envoyant simplement un fichier RTF pour Word à un utilisateur. Il pourrait ainsi exécuter du code arbitraire et prendre le contrôle du système si l’utilisateur a ouvert une session avec les droits administrateurs. Microsoft concède que le volet de visualisation est un vecteur d’attaque et que la vulnérabilité peut être déclenchée par un simple e-mail sans interaction de l’utilisateur.
Les navigateurs Edge et Internet Explorer ne sont pas épargnés par le Patch Tuesday. Une série de mises à jour cumulatives est préoposée ( MS16-063 pour Internet Explorer, MS16-068 pour Edge et MS16-069 pour JavaScript pour Windows Vista) corrigeant plusieurs vulnérabilités pouvant exécuter du code à distance. Dans le détail, les règles de sécurité liées au contenu ne valident pas correctement certains documents et le moteur JavaScript Chakra a des difficultés de rendu lorsqu’il traite des objets en mémoire. D’autres failles existent dans la façon dont Edge traite les fichiers PDF. Les correctifs pour IE se rapportent à des vulnérabilités de corruption de mémoire, en particulier dans les moteurs comme JScript 9, JScript et VBScript.
Comme indiqué précédemment, les autres bulletins sont classés comme importants. Wolfgang Kandek met l’accent sur le MS16-076 qui corrige une faille dans Windows Netlogon et peut exécuter du code à distance. Il pousse aussi les administrateurs à s’intéresser à deux autres bulletins : le MS16-075 avec un risque d’élévation de privilège sur un composant SMB server et MS16-079 qui colmate une faille dans Exchange.
A lire aussi :
Le CERT-FR revient sur les failles dans équipements de sécurité présents notamment en bordure de…
Mistral AI formalise ses travaux communs avec l'entreprise finlandaise Silo AI, qui publie elle aussi…
La présidente de Numeum, Véronique Torner, revient sur la genèse de la tribune du collectif…
Après avoir mené son enquête, la Commission européenne considère qu'il n'y a pas de prise de…
Les banques et les créanciers obligataires d'Atos ont trouvé un accord pour restructurer la dette…
Sur la feuille de route de Christophe Vannier, RSSI de Carrefour Banque, on trouve la…