Patch Tuesday Microsoft : Première mise à jour pour IE9
Microsoft a annoncé la correction de 34 vulnérabilités dans Windows, Internet Explorer (IE), Office et autres logiciels, 15 d'entre elles sont considérées comme « critiques » par l'éditeur.
Microsoft a émis 16 bulletins de sécurité dont 9 sont classés comme « critiques », qualification la plus importante et les 7 autres sont affectés du qualificatif « important ». Si le nombre de bugs corrigés est moindre que le record des 64 failles corrigées en avril dernier, il se classe en deuxième position sur l'ensemble de l'année. Parmi les différents bulletins, on distingue 34 vulnérabilités dont 15 ont été qualifiées de critiques, 17 ont été classées importantes et 2 ont été estampillées comme « modérées ».
Microsoft a mis un focus sur 4 des 16 bulletins pour souligner l'urgence à déployer rapidement ces correctifs. « Les priorités sont la MS11-050, MS11-052, MS11-043 et MS11-042 » précise Jerry Bryant, responsable du Microsoft Security Response Center (MSRC).
Le bulletin MS11-050 est prioritaire car il comprend 11 correctifs pour IE. « Celui-ci est au sommet de la liste, car c'est une tradition », a déclaré Andrew Storms, directeur des opérations de sécurité chez nCircle Security et d'ajouter « mais c'est aussi la première mise à jour pour IE9 ».
Neuf des onze bugs corrigés dans IE pouvaient être exploités par des attaques de type « drive-by ». Pour que ces dernières soient effectives, il suffit d'amener les internautes à visiter un site web malveillant.
A noter que le bulletin MS11-052 affecte également IE, bien que Microsoft l'ait étiqueté comme une mise à jour Windows. « La vulnérabilité se trouve dans Windows, mais le vecteur d'attaque s'appuie sur Internet Explorer, » a déclaré Jerry Bryant. Seuls IE6, IE7 et IE8 peuvent être utilisés pour exploiter la vulnérabilité corrigée dans MS11-052, précise le responsable.
Des bulletins complémentaires sur Office et Windows : Les bulletins MS11-043 et MS11-042 corrigent une faille dans la façon dont Windows gère les protocoles SMB (Server Message Block), qui pourrait être utilisée dans une attaque de type « Browse and own ». Sur le côté positif, a déclaré Jerry Bryant et Andrew Storms, de nombreuses entreprises ont bloqué le trafic sortant SMB avec un pare-feu, ce qui empêcherait les exploits de la faille corrigée dans MS11-043.
Le bulletin MS11-045 comprend une mise à jour de huit patch pour Excel. Sur les huit vulnérabilités, une seule affecte les versions les plus récentes, Excel 2007 et Excel 2010 sur Windows, deux touchent Excel 2011 sur Mac. « Il est manifestement clair que la suite Office récente est bien meilleure et plus sûre », a déclaré Andrew Storms.
Microsoft a également publié des mises à jour pour SQL Server, son produit Forefront Security 2010, le. NET Framework et la plateforme de développement Silverlight, ainsi que sur Hyper-V intégré à Windows Server 2008 et Server 2008 R2.
Les bulletins de sécurité de juin peuvent être téléchargés et installés via le Microsoft Update et Windows Update Services, ainsi que par Windows Server Update Services (WSUS). (Source Le Monde Informatique)