Microsoft a publié des mises à jour de sécurité pour corriger au moins 23 vulnérabilités distinctes dans son les fenêtres systèmes d’exploitation et autres logiciels. Trois des ensembles de correctifs publiés aujourd’hui corrigent des failles jugées « critiques », ce qui signifie que les logiciels malveillants ou les malfaiteurs peuvent les utiliser pour s’introduire dans les PC Windows sans l’aide des utilisateurs.
En tête des mises à jour critiques se trouve un correctif cumulatif pour Internet Explorer (MS13-059) qui affecte chaque version du navigateur sur presque toutes les versions prises en charge de Windows. Dans son avis, Microsoft avertit qu’il est fort probable que des attaquants développeront bientôt un code d’exploitation pour attaquer les failles corrigées dans ce correctif. En effet, selon Ross Barrettresponsable de l’ingénierie de la sécurité chez Rapid7, le correctif IE corrige une vulnérabilité démontrée pour la première fois au Concours Pwn2Own au CanSecOuest conférence en mars de cette année.
Une autre mise à jour critique, MS13-060est une vulnérabilité de police de navigation et d’acquisition qui affecte les utilisateurs sur Windows XP et Serveur 2003. Le patch critique final, MS13-061corrige plusieurs défauts dans Microsoft Exchange qui proviennent d’un composant tiers de Oracle appelé Dehors dans.
Les experts en sécurité ne s’entendent pas sur les correctifs marqués « importants » en gravité qui sont les plus intéressants ce mois-ci. Wolfgang Kandekdirecteur de la technologie dans une société de gestion des vulnérabilités Qualys, dit que le patch le plus surprenant de cette catégorie est MS13-063une vulnérabilité du noyau Windows qui corrige un autre bogue révélé pour la première fois (PDF) au CanSecWest de cette année. La vulnérabilité permet aux attaquants de contourner une protection anti-exploitation intégrée à Windows appelée randomisation de la disposition de l’espace d’adressage (ASLR). Kandek note que le chercheur qui a découvert cette faille — Yu Yang de la société de sécurité chinoise NSFocus – aurait probablement pu gagner jusqu’à 100 000 $ pour avoir signalé cette faille à Microsoft, s’il avait su que Microsoft allait commencer à payer des chercheurs pour de tels bogues.
« Microsoft pense qu’il aurait pu se qualifier pour l’une des primes les plus rémunératrices (jusqu’à 100 000 $) du programme BlueHat actuel », déclare Kandek. a écrit. « Hélas, à l’époque, le programme n’existait pas et Yang Yu n’avait aucun moyen de savoir que le programme était en cours. »
Pour sa part, Barrett de Rapid7 a déclaré peut-être que la vulnérabilité la plus véritablement intéressante ce mois-ci est MS13-062qui est signalé comme une faille qui permet aux utilisateurs moins importants d’élever leurs privilèges sur Windows.
« Microsoft a décrit cela comme extrêmement difficile à exploiter, ce que je ne peux que supposer est un défi d’exploiter les écrivains du monde entier pour leur prouver qu’ils ont tort », a plaisanté Barrett.
Les correctifs sont disponibles via Windows Update ou via les mises à jour automatiques. Comme toujours, si vous rencontrez des problèmes lors de l’application de l’un de ces correctifs, veuillez laisser une note dans la section des commentaires ci-dessous.