Patch Tuesday : Microsoft corrige une faille exploitée sur IE depuis 2014
et plusieurs autres failles critiques permettant l’exécution de code à distance

Dans le cadre de son programme Patch Tuesday, Microsoft a annoncé la disponibilité d’un lot de correctifs afin de corriger les failles liées à sa plateforme. Pour ce mois de septembre, pas moins de 94 failles ont été corrigées à travers les 14 mises à jour de sécurité.

Comme de coutume, nous avons plusieurs failles critiques et importantes qui ont été corrigées. Plusieurs produits Microsoft sont touchés par des failles critiques parmi lesquels l'on a Microsoft SharePoint, les applications Web et les services Office, Microsoft Exchange, Egde, Internet Explorer, Microsoft Office, les clients et les serveurs Windows.

Parmi ces correctifs, nous avons le bulletin de sécurité référencé MS-16-104 qui corrige des vulnérabilités liées à Internet Explorer. Une des failles référencées par le code CVE-2016-3351 qui avaient été utilisées dans des attaques depuis 2014 par plusieurs acteurs malveillants sur la toile a été également corrigée.

Parmi ces failles inhérentes à Internet Explorer, « la plus grave de ces vulnérabilités pourrait permettre l’exécution de code à distance si un utilisateur affichait une page web spécialement conçue à l’aide d’Internet Explorer. Un attaquant qui parviendrait à exploiter ces vulnérabilités pourrait obtenir les mêmes droits que le vrai utilisateur. Si le vrai utilisateur est connecté avec des privilèges d’administrateur, un attaquant pourrait prendre le contrôle d’un système concerné. L’attaquant pourrait alors installer des programmes, afficher, modifier ou supprimer des données, ou créer des comptes dotés de tous les privilèges », explique Microsoft.

Cette faille concerne Internet Explorer 9 et Internet Explorer 11 pour les clients Windows. Pour les serveurs, cette faille est de niveau modéré et concerne la version 10 d’Internet Explorer en plus des deux autres versions mentionnées ci-dessus.

À côté de l’ancien navigateur de Microsoft, nous avons Edge qui a reçu également son lot de mises à jour cumulatives afin de corriger des failles critiques. Parmi ces failles, la plus sérieuse pourrait permettre à un attaquant d’exécuter du code à distance afin de prendre le contrôle de la session d’un utilisateur en disposant des mêmes privilèges que ce dernier.

Au niveau d’Office, c’est le même son de cloche. La mise à jour MS-16-07 permet de corriger plusieurs vulnérabilités dont la plus importante permet à un tiers malveillant d’exécuter du code à distance si un individu ouvrait un fichier Office infecté. L’attaquant pourrait dans ce cas précis exécuter du code arbitraire sur le système de l’utilisateur.

Concernant Microsoft Exchange Server, le correctif MS-16-108 vient corriger plusieurs failles dont la plus grave pourrait faciliter l’exécution de code à distance dans certaines bibliothèques Oracle Outside In intégrées dans Exchange si un attaquant envoyait un email spécialement conçu pour exploiter cette faille. Cette mise à jour est considérée comme critique pour toutes les versions de Microsoft Exchange Server 2007, Microsoft Exchange Server 2010, Microsoft Exchange Server 2013 et Microsoft Exchange Server 2016.

Ce patch Tuesday vient également corriger 26 failles touchant Flash player. Tout comme les autres correctifs, celui-ci est également considéré comme critique et affecte les versions de Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows RT 8.1 et Windows 10.

En dehors de ces bulletins de sécurité, plusieurs autres sont également disponibles et corrigent plusieurs failles critiques et importantes.

Source : Microsoft

Voir aussi

Forum Sécurité