Adobe et Microsoft aujourd’hui, chacun a publié des mises à jour logicielles pour résoudre les problèmes de sécurité critiques de ses produits. Microsoft a publié huit ensembles de correctifs pour résoudre 26 vulnérabilités différentes dans les fenêtres et d’autres logiciels – dont pas seulement un mais deux bogues zero-day dans Internet Explorer. Les correctifs d’Adobe corrigent une seule vulnérabilité critique présente dans les deux Adobe Acrobat et Lecteur.
Quatre des huit bulletins de correctifs de Microsoft ont obtenu sa cote « critique » la plus grave, ce qui signifie que les mises à jour corrigent des problèmes jugés si graves que des malfaiteurs ou des logiciels malveillants pourraient les utiliser pour pénétrer dans des systèmes vulnérables sans l’aide des utilisateurs. Les correctifs affectent une large gamme de produits Microsoft, y compris Windows, IE, SharePoint, .NET Framework, Bureau et Silverlight.
Avant et au centre du lot de correctifs Microsoft est MS13-080qui corrige la vulnérabilité IE zero-day (CVE-2013-3893) dont Microsoft a mis en garde pour la première fois le 17 septembre, ainsi que neuf autres failles de sécurité dans le navigateur Web Windows par défaut. Amplifiant le niveau de menace sur cette faille, un code d’exploitation permettant aux attaquants d’exploiter la faille a été rendu public la semaine dernière en tant que module pour le Cadre d’exploitation Metasploitune boîte à outils de test d’intrusion.
À la fin du mois dernier, Microsoft a publié une solution provisoire « Fix It » pour bloquer les exploits contre la faille zero-day, et la bonne nouvelle est que si vous avez déjà appliqué cette solution, vous n’avez pas besoin d’annuler ces modifications avant d’appliquer cette mise à jour. La mauvaise nouvelle, c’est qu’il ne s’agit pas de la seule vulnérabilité zero-day corrigée dans le pack de correctifs IE : les chercheurs de Trustwave Spiderlabs disent qu’ils ont confirmé que les attaquants exploitent déjà l’une des autres failles corrigées dans cette mise à jour d’IE (CVE-2013-3897).
Ross Barrettdirecteur principal de l’ingénierie de la sécurité chez Rapide7, a déclaré une autre vulnérabilité Microsoft critique – MS13-083, une faille dans la bibliothèque de contrôle commune de Windows – « ressemble à une vulnérabilité vraiment amusante – une vulnérabilité côté serveur distante offrant une exécution de code à distance accessible via les pages Web ASP.net ». Barrett a déclaré que si jamais il y avait une faille réelle, honnête à la bonté, qui serait considérable et éminemment capable de propulser un ver Internet auto-propagatif, c’est bien celle-ci.
« Si les » méchants « découvrent un moyen d’automatiser l’exploitation de cela, cela pourrait se propager rapidement et les mesures de défense en profondeur de votre organisation seront testées », a déclaré Barrett. « Cependant, cette vulnérabilité a été signalée en privé à Microsoft et n’est pas connue pour être exploitée activement. »
Plus d’informations sur les patchs restants sont disponibles via le blog Microsoft Technet.
Adobe a publié des mises à jour pour ses versions Windows d’Adobe Reader XI et d’Adobe Acrobat XI. Les mises à jour corrigent une seule vulnérabilité et amènent ces produits à la version 11.0.05. Des liens vers les mises à jour et plus d’informations sur la faille sont disponibles dans Avis d’Adobe. La société a déclaré qu’Adobe Reader et Acrobat X (10.1.8) et les versions antérieures pour Windows ne sont pas affectées, et que toutes les versions d’Adobe Reader et d’Acrobat pour Macintosh ne sont pas non plus affectées par cette vulnérabilité. Adobe a également déclaré qu’il n’était au courant d’aucun exploit ou attaque « dans la nature » pour le problème traité dans cette mise à jour.