Microsoft a livré aujourd’hui un ensemble de mises à jour de sécurité pour résoudre plus de trois douzaines de vulnérabilités dans les fenêtres et logiciels associés. Le lot comprend un correctif pour une faille corrigée pour la première fois en 2010 – la même vulnérabilité qui a conduit à la découverte de la fameuse cyber-arme connue sous le nom de Stuxnet. Il s’avère que le correctif fourni par Microsoft pour corriger cette faille en 2010 n’a pas tout à fait fait l’affaire, laissant les utilisateurs de Windows dangereusement exposés pendant tout ce temps.
Lors de ce troisième patch Tuesday de 2015, Microsoft a poussé 14 ensembles de mises à jour pour corriger au moins 43 vulnérabilités distinctes dans Internet Explorer, Bureau de change et une foule d’autres composants.
Cinq des correctifs publiés aujourd’hui corrigent les failles auxquelles Microsoft a attribué son étiquette « critique » la plus grave, ce qui signifie que les vulnérabilités que ces correctifs corrigent peuvent être exploitées pour compromettre les systèmes vulnérables par peu ou pas d’action de la part de l’utilisateur – sauf peut-être pour ouvrir un fichier piégé ou la visite d’un site Web piraté/malveillant.
L’un des correctifs critiques les plus curieux est MS15-020qui selon Initiative Zero Day de HP Les chercheurs abordent la même vulnérabilité que Microsoft a corrigée en août 2010. Cette vulnérabilité – révélée pour la première fois dans un article sur ce blog le 15 juillet 2010 – a été découverte plus tard comme étant l’une des quatre failles zero-day utilisées dans Stuxnet, une arme d’une sophistication sans précédent qui est désormais largement considérée comme un projet conjoint américano-israélien visant à retarder les ambitions nucléaires de l’Iran. Les gens à Point de basculement HP ont publié un article de blog sur leur travail pour découvrir le correctif qui a échoué et comment le correctif original de 2010 a raté la cible. Pour en savoir plus sur Stuxnet, consultez Kim Zetterest un excellent nouveau livre, Compte à rebours jusqu’au jour zéro.
Deux autres correctifs traitent des problèmes de sécurité qui ont fait l’objet d’une grande attention médiatique ces derniers temps : Super poisson les logiciels malveillants et les FRÉQUENCE SSL vulnérabilité. Freak est une faille qui permet à un attaquant qui contrôle le réseau local de rétrograder les communications cryptées de votre ordinateur à un niveau de sécurité beaucoup plus faible (et craquable) – permettant potentiellement aux attaquants d’écouter votre navigation et de modifier ou de rediriger vos communications.
En tant qu’expert en sécurité et cryptologue Matthieu Vert c’est noté, on pense que la vulnérabilité FREAK découle des efforts déployés par la National Security Agency pour affaiblir la technologie de cryptage autorisée à être expédiée à l’étranger. Ironiquement, plusieurs chercheurs ont montré comment le propre site Web de la NSA était rendu vulnérable par cette faille ; vérifier SmackTLS.com pour en savoir plus.
Microsoft a également déclaré sur son blog que le 19 février, il a publié une mise à jour de son outil de suppression de logiciels malveillants qui recherche et supprime Superfish, un programme publicitaire dont on a récemment découvert qu’il avait été livré en usine avec de nombreux PC grand public fabriqués par Lenovo. Il a également été démontré que Superfish sape le cryptage SSL sur les systèmes sur lesquels le programme invasif est installé, comme l’a démontré le chercheur Robert Graham. dans ce poste. Lenovo a déclaré qu’il n’expédiait plus Superfish avec des PC et a sorti un outil pour vous aider à supprimer le programme.
Pour la première fois depuis longtemps, il n’y a pas de correctifs de Adobe sur Patch Tuesday, bien que l’un des correctifs critiques publiés aujourd’hui par Microsoft corrige un insecte dangereux dans Adobe Font Driver sur la plupart des versions de Windows. Pour en savoir plus sur les mises à jour Microsoft d’aujourd’hui, consultez les résumés publiés par Qualys et Chavlik. Les liens vers les bulletins individuels publiés aujourd’hui sont ici.