[ad_1]

Adobe et Microsoft chacun a publié une multitude de mises à jour aujourd’hui pour combler les failles de sécurité critiques dans leur logiciel. La version de Microsoft comprend des correctifs pour 112 failles distinctes, dont une vulnérabilité zero-day qui est déjà exploitée pour attaquer les utilisateurs de Windows. Microsoft prend également des critiques pour avoir modifié ses avis de sécurité et limité la quantité d’informations divulguées sur chaque bogue.

Quelque 17 des 112 problèmes résolus dans le lot de correctifs d’aujourd’hui impliquent des problèmes « critiques » dans Windows, ou ceux qui peuvent être exploités par des logiciels malveillants ou des mécontents pour prendre le contrôle complet et à distance d’un ordinateur Windows vulnérable sans aucune aide des utilisateurs.

La plupart des autres ont reçu la cote « important », ce qui dans le jargon de Redmond fait référence à une vulnérabilité dont l’exploitation pourrait « compromettre la confidentialité, l’intégrité ou la disponibilité des données des utilisateurs, ou l’intégrité ou la disponibilité des ressources de traitement ».

Une préoccupation majeure parmi toutes ces mises à jour ce mois-ci est CVE-2020-17087, qui est un bogue « important » dans le noyau Windows qui fait déjà l’objet d’une exploitation active. CVE-2020-17087 n’est pas répertorié comme critique car il s’agit d’une faille d’escalade de privilèges qui permettrait à un attaquant ayant déjà compromis un compte d’utilisateur moins puissant sur un système d’obtenir le contrôle administratif. En substance, il faudrait enchaîner avec un autre exploit.

Malheureusement, c’est exactement ce que les chercheurs de Google ont décrit récemment. Le 20 octobre, Google a publié une mise à jour pour son Chrome navigateur qui a corrigé un bogue (CVE-2020-15999) qui a été utilisé conjointement avec CVE-2020-17087 pour compromettre les utilisateurs de Windows.

Si vous jetez un coup d’œil à l’avis que Microsoft a publié aujourd’hui pour CVE-2020-17087 (ou tout autre du lot d’aujourd’hui), vous remarquerez peut-être qu’ils semblent un peu plus clairsemés. C’est parce que Microsoft a choisi de restructurer ces avis autour du Système commun de notation des vulnérabilités (CVSS) pour aligner plus étroitement le format des avis sur celui des autres principaux éditeurs de logiciels.

Mais ce faisant, Microsoft a également supprimé certaines informations utiles, telles que la description expliquant en termes généraux la portée de la vulnérabilité, comment elle peut être exploitée et quel pourrait être le résultat de l’exploitation. Microsoft a expliqué son raisonnement derrière ce changement dans un article de blog.

Tout le monde n’est pas satisfait du nouveau format. Bob Huberchef de la sécurité chez Défendablea félicité Microsoft pour avoir adopté une norme de l’industrie, mais a déclaré que la société devrait considérer que les personnes qui examinent les versions du Patch Tuesday ne sont pas des praticiens de la sécurité, mais plutôt des homologues informatiques responsables de l’application des mises à jour qui ne sont souvent pas capables (et ne devraient pas avoir à le faire). ) déchiffrer les données CVSS brutes.

« Avec ce nouveau format, les utilisateurs finaux sont complètement aveugles à l’impact d’un CVE particulier sur eux », a déclaré Huber. « De plus, cela rend presque impossible de déterminer l’urgence d’un patch donné. Il est difficile de comprendre les avantages pour les utilisateurs finaux. Cependant, il n’est pas trop difficile de voir comment ce nouveau format profite aux mauvais acteurs. Ils procéderont à l’ingénierie inverse des correctifs et, Microsoft n’étant pas explicite sur les détails de la vulnérabilité, l’avantage revient aux attaquants, pas aux défenseurs. Sans le contexte approprié pour ces CVE, il devient de plus en plus difficile pour les défenseurs de prioriser leurs efforts de remédiation.

Dustin Childs avec Trend Microc’est Initiative Zero Day également perplexe face au manque de détails inclus dans les avis Microsoft liés à deux autres failles corrigées aujourd’hui – dont une dans Serveur Microsoft Exchange (CVE-2020-16875) et CVE-2020-17051qui est une faiblesse effrayante dans le Système de fichiers réseau Windows (NFS).

Le problème d’échange, dit Childs, a été rapporté par le gagnant du Concours de recherche de bogues Pwn2Own Miami.

« En l’absence de détails fournis par Microsoft, nous ne pouvons que supposer qu’il s’agit du contournement de CVE-2020-16875 qu’il avait précédemment mentionné », a déclaré Childs. « Il est très probable qu’il publiera bientôt les détails de ces bugs. Microsoft considère cela comme important, mais je le considérerais comme essentiel, d’autant plus que les gens semblent avoir du mal à appliquer des correctifs à Exchange.

De même, avec CVE-2020-17051, il y avait un manque notable de détails pour le bogue qui a obtenu un score CVSS de 9,8 (10 est le plus dangereux).

« En l’absence de description sur laquelle travailler, nous devons nous fier au CVSS pour fournir des indices sur le risque réel du bogue », a déclaré Childs. « Étant donné que cela est répertorié comme aucune interaction de l’utilisateur avec une faible complexité d’attaque, et étant donné que NFS est un service réseau, vous devez le traiter comme vermifuge jusqu’à ce que nous apprenions le contraire. »

Séparément, Adobe a publié aujourd’hui des mises à jour pour combler au moins 14 failles de sécurité dans Adobe Acrobat et Reader. Des détails sur ces correctifs sont disponibles ici. Il n’y a pas de mises à jour de sécurité pour Adobe Flash Player, qui, selon Adobe, sera retiré à la fin de l’année. Microsoft, qui a fourni des versions de Flash avec ses navigateurs Web, a déclaré qu’il prévoyait de publier une mise à jour en décembre qui supprimerait Flash des PC Windows, et le mois dernier, il a créé l’outil de suppression disponible pour le téléchargement.

Les utilisateurs de Windows 10 doivent savoir que le système d’exploitation téléchargera les mises à jour et les installera selon son propre calendrier, en fermant les programmes actifs et en redémarrant le système. Si vous souhaitez vous assurer que Windows a été configuré pour suspendre la mise à jour afin de pouvoir sauvegarder vos fichiers et/ou votre système, consultez ce guide.

Mais veuillez sauvegarder votre système avant d’appliquer l’une de ces mises à jour. Windows 10 a même quelques outils intégrés pour vous aider à le faire, soit par fichier/dossier, soit en créant une copie complète et amorçable de votre disque dur en une seule fois.

Comme toujours, si vous rencontrez des problèmes ou des problèmes lors de l’installation de l’un de ces correctifs ce mois-ci, veuillez envisager de laisser un commentaire à ce sujet ci-dessous ; il y a de fortes chances que d’autres lecteurs aient vécu la même chose et peuvent donner ici quelques conseils utiles.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *