Microsoft a publié aujourd’hui des mises à jour pour corriger au moins 22 failles de sécurité dans son les fenêtres systèmes d’exploitation et autres logiciels. Le seul correctif critique du lot de ce mois-ci corrige un problème inhabituel Bluetooth vulnérabilité qui pourrait permettre à des attaquants à proximité de s’introduire dans des systèmes vulnérables même lorsque l’ordinateur ciblé n’est pas connecté à un réseau.
Bluetooth est une norme de communication sans fil qui permet aux appareils électroniques – tels que les ordinateurs portables, les téléphones portables et les casques – de communiquer sur de courtes distances (la portée moyenne est comprise entre 30 et 100 mètres, mais cette portée peut être étendue avec des outils spécialisés). Pour partager des données, deux appareils compatibles Bluetooth doivent normalement «s’associer» l’un à l’autre, un processus qui implique l’échange d’un mot de passe entre les deux appareils.
Mais Microsoft a livré aujourd’hui un patch pour corriger une faille dans son implémentation Bluetooth sur les ordinateurs Windows Vista et Windows 7 qu’il a déclaré que les attaquants pourraient utiliser pour prendre le contrôle d’un système vulnérable sans aucune action de la part de l’utilisateur. L’ordinateur de l’agresseur devrait se trouver à une courte distance du PC de la victime, et la cible aurait simplement besoin d’avoir le Bluetooth activé.
Josué Talbotresponsable du renseignement de sécurité pour Réponse de sécurité de Symanteca déclaré que la vulnérabilité pouvait être exploitée sans qu’aucune alerte ne soit envoyée au PC victime.
« Un attaquant exploiterait cela en envoyant des données malveillantes spécifiques à l’ordinateur ciblé tout en établissant une connexion Bluetooth », a déclaré Talbot. « En raison d’un problème de corruption de la mémoire au cœur de cette vulnérabilité, l’attaquant aurait alors accès à l’ordinateur. Tout cela se produirait avant qu’une notification n’alerte l’utilisateur ciblé qu’un autre ordinateur a demandé une connexion Bluetooth.
Bien que cela soit peu probable, une telle vulnérabilité pourrait être utilisée pour alimenter un ver informatique qui se propage d’un ordinateur portable Windows compatible Bluetooth à un autre, a déclaré Talbot.
L’avis de Microsoft déclare : « Windows Vista et Windows 7 prennent en charge une large gamme de périphériques radio Bluetooth et installeront le pilote Bluetooth lorsqu’un périphérique Bluetooth amovible est ajouté au système. Par conséquent, toutes les versions prises en charge de Windows Vista et Windows 7 sont affectées.
Mais Talbot a ajouté que de nombreux ordinateurs portables Windows sont configurés pour rendre la connectivité aussi simple que possible pour les utilisateurs et activeront Bluetooth lorsque le composant Internet sans fil de l’ordinateur est actif ou recherche des réseaux (ce qui, pour de nombreuses machines, est tout le temps).
Microsoft corrigé 21 autres failles de sécurité ce Patch Tuesday ; tous étaient des failles moins graves, dites « d’escalade de privilèges », qui sont peu utiles à moins que l’attaquant n’ait déjà pris pied sur le système de la cible.
Les mises à jour sont disponibles à partir de Windows Update ou via les mises à jour automatiques. Comme toujours, si vous rencontrez des problèmes avant, pendant ou après l’application de ces mises à jour, veuillez déposer une note dans la section des commentaires sur votre expérience.