Microsoft vient de publier le Patch Tuesday du mois de novembre
Qui corrige quatre vulnérabilités
Le Patch Tuesday survient le deuxième mardi du mois ; Microsoft publie des correctifs de sécurité à destination de ses clients.
Le patch de novembre corrige quatre vulnérabilités (CVE-2011-2004, CVE-2011-2013, CVE-2011-2014, CVE-2011-2016), toutes signalées confidentiellement à Microsoft. Une est considérée comme critique, une comme modérée et les deux dernières comme importantes.
- La première vulnérabilité, référencée CVE-2011-2013, permet via un integer overflow d'un compteur dans la pile TCP/IP de Windows, une exploitation de code arbitraire en mode noyau.
- La seconde faille, référencée CVE-2011-2004, permet un déni de service au sein de certains systèmes Windows lors de l'ouverture par l'utilisateur d'une police de caractères TrueType spécialement conçue. La vulnérabilité se trouve dans un pilote noyau.
- La troisième vulnérabilité, référencée CVE-2011-2016, impacte Windows Mail et l'espace de collaboration Windows et permet l'exécution de code arbitraire. La faille est possible à cause d'une faiblesse dans le chargement d'une DLL.
- La dernière faille, référencée CVE-2011-2014, permet une élévation de privilège au sein d'Active Directory lorsque LDAPS (LDAP sur SSL) est utilisé. Cette élévation se fait en utilisant un certificat expiré, permettant de s'authentifier sur le domaine avec les privilèges du compte associé au certificat.
Au-delà de ces quatre patches, Microsoft n'est pas resté inactif depuis la correction du dernier patch. En effet la découverte du ver Duqu, exploitant un 0day Windows a entraîné la publication, le 3 novembre dernier, d'une solution de contournement en attendant un correctif.
Le même jour, Microsoft, comme Google et Mozilla, a aussi banni une autorité de certification après que celle-ci ait émis 22 certificats faibles.
Autre mise à jour, Microsoft a publié, le 25 octobre 2011, un nouveau Service Pack pour Office 2007. Ce SP3 contient toutes les mises à jour cumulatives publiées depuis le SP2 pour les suites Office et les applications serveur SharePoint.
Sources :
Patch Tuesday de novembre
Bulletin Microsoft sur la vulnérabilité exploitée par Duqu
Bulletin Microsoft sur la suppression de l'autorité de certification intermédiaire Malaisienne DigiCert
Bulletin Microsoft annonçant la publication du SP3 d'Office 2007
Partager