Ce qu’il faut retenir du Patch Tuesday du 13 septembre 2016 selon Shavlik

Ce mois-ci (septembre 2016) marque le dernier Patch Tuesday (avec l’ancien modèle de service). Dès octobre, Microsoft annonce qu’il va changer ses modèles de services, pour tous les systèmes d’exploitation antérieurs à Windows 10.

Selon les experts de Shavlik, leader international de la gestion IT et des systèmes de sécurité innovants, ce changement va être très impactant.

Si l’on regarde le nombre moyen de bulletins et de vulnérabilités de chaque Patch Tuesday cette année, on constate une moyenne d’environ 3 CVE (Common Vulnerabilies and Exposures) par bulletin. En raison des explications du billet de blog de Microsoft, les spécialistes de Shavlik ont passé en revue tous les Patch Tuesday de 2016 et recompté le nombre total de bulletins qui auraient dû être publiés selon le nouveau modèle. La moyenne des CVE passe à environ 12 CVE par bulletin. 

Dans les faits, les exceptions dues aux problèmes de comptabilité des applications vont devenir plus importantes du point de vue des risques. Les entreprises devront tester plus strictement la compatibilité de leurs applications pour éviter les pannes lorsqu’un grand nombre de packs de mise à jour de sécurité seront distribuées (Push) sur leurs systèmes. En cas de conflit, les fournisseurs à l’origine de ces conflits de mises à jour seront encore plus sous pression pour résoudre les problèmes. Les entreprises auraient peut-être accepté qu’une exception provoque une ou deux vulnérabilités, mais une exception qui provoque l’absence de correctifs pour 20 vulnérabilités entrainera une tout autre réaction. 

Les faits à retenir :
Une mise à jour de Flash Player et 14 bulletins de Microsoft. Ces 14 bulletins Microsoft incluent comprennent 7 mises à jour critiques et 7 mises à jour importantes, qui résolvent un total de 50 vulnérabilités distinctes, notamment une faille « zero day » dans Internet Explorer (CVE-2016-3351) et une divulgation publique (CVE-2016-3352).

Adobe a publié 3
 bulletins au total, mais seul Flash Player est marqué comme critique (Priorité 1, selon les critères de gravité Adobe). Il résout 29 vulnérabilités. Les deux autres bulletins Adobe résolvent 9 vulnérabilités, mais ils sont tous deux marqués Priorité 3, niveau de gravité le plus faible pour les mises à jour de sécurité Adobe. 

Google a aussi publié récemment une mise à jour Chrome. Ainsi, il ne faut pas oublier d’inclure ce navigateur dans sa maintenance mensuelle des correctifs, car la mise à jour inclut des corrections de sécurité supplémentaires. 

En regardant plus en profondeur dans les mises à jour à priorité élevée :
MS16-104 est une mise à jour critique pour Internet Explorer qui résout 10 vulnérabilités, y compris une faille d’exploitation « zero day » (CVE-2016-3351). C’est donc une priorité absolue ce mois-ci. Ce bulletin inclut des vulnérabilités qui ciblent les utilisateurs finaux. Il est possible d’atténuer l’impact de plusieurs de ces vulnérabilités en gérant correctement les privilèges. En effet, si l’utilisateur attaqué possède des droits d’accès complets, ces droits s’étendent aussi au pirate. Si l’utilisateur a des droits restreints, le pirate devra trouver d’autres solutions pour obtenir des privilèges plus élevés s’il veut attaquer davantage le système. 

MS16-105 est une mise à jour critique pour le navigateur de périphérie, qui résout 12 vulnérabilités. Ce bulletin inclut des vulnérabilités qui ciblent les utilisateurs finaux. Il est également possible d’atténuer l’impact de plusieurs d’entre elles en gérant correctement les privilèges.

MS16-106 est une mise à jour critique pour Windows Graphics, qui résout 5 vulnérabilités. L’impact des correctifs GDI va généralement au-delà du système d’exploitation Windows, car GDI est un composant courant, utilisé par de nombreux produits Microsoft. Ce mois-ci, il semble que la mise à jour GDI ne porte que sur le système d’exploitation. Il semble que cela soit la première fois cette année.

MS16-107 est une mise à jour critique pour Office et SharePoint, qui résout 13 vulnérabilités. Attention, lorsque l’on parle d’Office et SharePoint, il s’agit de TOUTES les variantes : toutes les versions d’Office, des visionneuses Office Viewers, et de SharePoint (y compris SharePoint 2007). Cet élément peut apparaître plusieurs fois sur une machine, selon les produits et visionneuses installés sur chaque système. Ce bulletin inclut des vulnérabilités qui ciblent les utilisateurs finaux, donc nécessitent une gestion correcte les privilèges.

MS16-108 est une mise à jour critique pour Exchange Server, qui résout 3 vulnérabilités. En réalité, cette mise à jour va plus loin, car elle inclut les bibliothèques Oracle Outside in, pour lesquelles une mise à jour a été publiée en juillet. Cela ajoute 18 vulnérabilités au nombre de vulnérabilités résolues pour ce bulletin. Et le bulletin inclut une vulnérabilité qui cible l’utilisateur. Un pirate peut envoyer un lien contenant une URL spécialement configurée, qui autorise la redirection d’un utilisateur Exchange authentifié vers un site malveillant conçu pour se faire passer pour un site légitime. 

MS16-110 est une mise à jour importante qui résout 4 vulnérabilités. Pourquoi inclure cette seule mise à jour importante dans la liste des mises à jour Haute priorité ce mois-ci ? C’est parce qu’il s’agit de CVE-2016-3352, communiquée au grand public. Cela signifie qu’un nombre suffisant d’informations a été communiqué avant la publication de la mise à jour, et que les pirates ont eu le temps de préparer leurs attaques. Ce bulletin passe donc en priorité élevée, car la vulnérabilité a davantage de chances d’être exploitée. Cette vulnérabilité est un défaut des demandes SSO NTLM lors des sessions de connexion MSA. Un pirate qui exploite cette faiblesse peut tenter d’obtenir la valeur de hachage de mot de passe NTLM d’un utilisateur par la force brute.

MS16-116 est une mise à jour critique du moteur de scripts VBScript, qui résout une seule vulnérabilité. Pour que la résolution soit complète, il faut installer cette mise à jour avec la mise à jour IE MS16-104. Ce bulletin inclut des vulnérabilités qui ciblent les utilisateurs finaux, donc il faut s’assurer d’une bonne gestion des privilèges.

MS16-117 est une mise à jour critique du plug-in Adobe Flash Player pour Internet Explorer. Ce bulletin inclut 29 vulnérabilités, dont plusieurs ciblent l’utilisateur. 

APSB16-29 est une mise à jour Priorité 1 pour Adobe Flash Player, qui résout 29 vulnérabilités. Pour les mises à jour Flash Player, il y a généralement 2 à 4 mises à jour à appliquer à chaque système. Flash Player et ses plug-ins pour IE, Chrome et FireFox. 

jeudi 15 septembre 2016
Communiqué de presse
Share on FacebookShare on Google+Tweet about this on TwitterShare on LinkedIn

Les commentaires sont fermés.

Contactez-nous
8 avenue du Maine, 75015 Paris
Tél. : +33 1 53 63 27 27

Yucatan, créée il y a plus de 20 ans et dirigée par Evelyne Martin et Caroline Prince, est la première agence de relations médias spécialisée dans la valorisation de l’innovation dans les secteurs de la high-tech, du digital, de l’industrie, du bâtiment et des sciences. L’agence Yucatan participe au développement de la réputation de ses clients. Yucatan vous présente ici son Blog, que vous pouvez suivre en vous inscrivant à la newsletter.