Microsoft : "patch tuesday" et nouvelle faille

le 09/09/2009 à 21:59
Microsoft : "patch tuesday" et nouvelle faille
Fidèle à ses bonnes habitudes, Microsoft a publié cette semaine, comme tous les deuxièmes mardi du mois, sa fournée mensuelle de correctifs de sécurité. Cinq patchs sont proposés au téléchargement, qui viennent combler huit vulnérabilités concernant différentes éditions de Windows ou certains de leurs composants. La faille relative à IIS, le serveur Web de l'OS de Microsoft n'est cependant pas corrigée. Ironie du sort, une nouvelle vulnérabilité vient par ailleurs de faire son apparition.

Le bulletin de sécurité publié par Microsoft évoque donc cinq correctifs, tous qualifiés de critique. Les trois premiers adressent des problèmes détectés au niveau moteur JavaScript, du service de configuration automatique de réseau local sans fil et du format Windows Media, susceptibles de permettre l'exécution de code malveillant à distance, par l'intermédiaire d'une page Web ou d'un fichier multimédia piégé de façon à en tirer parti.

Le quatrième, MS09-048, corrige une série de vulnérabilités liées au protocole TCP-IP qui aurait pu être utilisée pour une attaque par déni de service ou l'exécution de code à distance. « Ces vulnérabilités pourraient permettre l'exécution de code à distance si un attaquant envoyait des paquets TCP/IP spécialement conçus à un ordinateur avec un service d'écoute sur le réseau », explique l'éditeur. Le dernier, enfin, corrige une vulnérabilité dans le contrôle ActiveX du composant d'édition DHTML.

A un niveau ou à un autre, toutes les éditions de Windows depuis 2000 SP4 sont concernées par au moins un de ces correctifs. Les utilisateurs sont donc invités à installer sans attendre les mises à jour proposées par son système.

Comme le savent bien les éditeurs, la sécurité informatique est une perpétuelle gageure. Une nouvelle faille a ainsi été portée à la connaissance du public lundi, juste avant la publication de ces correctifs. Découverte par Laurent Gaffié, chercheur en sécurité, elle affecte le protocole SMB 2.0 (Server Message Block), lié au partage de fichiers et d'imprimantes. Microsoft a depuis confirmé son existence. En fonction de la gravité de cette dernière, l'éditeur pourra choisir d'attendre la livraison des correctifs du mois d'octobre ou anticiper la mise en ligne d'une rustine dédiée.

A lire également

Microsoft rendait public hier soir la présence d'une nouvelle faille de sécurité dans son navigateur vedette, Internet Explorer. Affectant toutes les versions d'Internet Explorer, et toutes les versions de Windows, cette brèche de sécurité permet à une personne malintentionnée d'accéder à l'ensemble des fichiers présents sur la machine concernée. La bonne nouvelle tout de même, car il y en a une, c'est que le mode d'exécution protégé d'Internet Explorer sur les systèmes d'exploitation Windows Vista, Windows Server 2008 et Windows 7 rend la faille inexploitable.

Toutefois ce n'est pas le cas sous Windows XP, où le problème est jugé très sérieux. En attendant la publication d'un correctif, qui interviendra à une date non encore déterminée, Microsoft propose une solution pour les systèmes Windows XP via un assistant effectuant certains réglages dans la base de registre afin de verrouiller les protocoles réseau nécessaires. Le bulletin de sécurité concernant ce problème se trouve ici.

À l'occasion de cette énième faille de sécurité, nous avons pu nous entretenir avec Bernard Ourghanlian, responsable des problématiques sécurité pour Microsoft France.Clubic.com : Cette nouvelle faille d'Internet Explorer remet sur le devant de la scène la vétusté d'Internet Explorer 6.0. Ne serait-il pas temps de s'en débarrasser ?Bernard Ourghanlian : Très franchement, nous aimerions bien nous débarrasser d'Internet Explorer 6.0, mais on ne peut tout simplement pas. En entreprise, déployer un nouveau navigateur est un énorme travail. Tant que Windows XP sera supporté par Microsoft, Internet Explorer 6.0 le sera également. La date de fin de support de Windows XP court jusqu'en 2014.Clubic.com : N'est-il pas temps également d'abandonner définitivement le moteur de rendu Trident d'Internet Explorer et d'en écrire... un nouveau ?Bernard Ourghanlian : Nous touchons ici à une problématique de l'héritage. Il est certain que si nous devions réécrire Windows par exemple, nous ne le ferions plus de la même façon. Le code d'Internet Explorer est certes, pour partie, ancien mais il rend des services à des millions de gens à travers le monde. Pour reprendre l'exemple de Windows, nous savons tous que l'avenir est au code managé et nous serions ravi de proposer une version de Windows en .NET. Hélas, on ne peut pas car il faut assurer la compatibilité avec le passé. Et d'une manière générale, c'est compliqué de maintenir la compatibilité avec le passé.

Pour en revenir à Internet Explorer, on va de toute façon abandonner Trident avec la prochaine version d'Internet Explorer. Non seulement pour des problématiques de performance mais également pour se conformer aux nouveaux standards du web.Clubic.com : Les récentes failles d'Internet Explorer montrent que le modèle du Patch Tuesday a peut être vécu. Est-ce le cas ?Bernard Ourghanlian : Non. Le Patch Tuesday reste d'actualité, pour preuve un certain nombre de sociétés ont adopté un modèle similaire. Notre initiative est suivie et présente beaucoup d'avantages. Elle permet notamment aux entreprises de se préparer grâce au notification en avance de phase. Toutefois on sait que dans un certain nombre de cas le fait de publier un rapport de vulnérabilité va entraîner à très court terme des attaques tirant parti de la faille documents. Nous essayons donc en général de corriger plusieurs failles en même temps afin de rendre plus complexe le travail de reverse engineering. D'une manière générale, la sécurité est une grande école de l'humilité. Tôt ou tard, on sait très bien que tel nouvel algorithme ou tel nouvelle technique présentée comme inviolable sera contournée.
Microsoft vient de publier un bulletin de sécurité relatif à une nouvelle faille affectant différentes versions de Windows dont XP SP3, Vista SP2 ou encore Windows 7 SP1 bêta. L'éditeur explique que cette vulnérabilité est causée par "une mauvaise analyse des raccourcis qui peut résulter en une exécution de code malveillant lorsque l'utilisateur clique sur l'icône d'un raccourci modifié".

Cette faille serait notamment exploitée par un malware baptisé Stunxnet initialement repéré par le cabinet de sécurité VirusBlokAda. Ce rootkit fonctionne également en mode d'exécution automatique, il suffit alors de connecter une clé USB infectée et d'ouvrir cette dernière avec l'explorateur de fichier de Windows (ou tout autre utilitaire) pour générer l'attaque. Cette dernière est caractérisée par l'injection d'un fichier DLL camouflé par deux pilotes mrxnet.sys et mrxcls.sys. Ces pilotes auraient obtenu un certificat validé par Verisign pour le fabricant RealTek. Cela permet l'injection de code au sein des processus du système.

Microsoft précise que si l'utilisateur est identifié en tant qu'administrateur de la machine le hacker pourrait prendre contrôle du système pour y installer un logiciel, consulter, modifier ou effacer des données ou créer d'autres comptes administrateurs. Pour cette raison une personne connectée en tant que simple utilisateur de son ordinateur est jugée moins vulnérable.

De leurs côtés les experts de F-Secure ajoutent que le rooktik serait capable de se propager sur les autres supports branchés en USB mais également sur les stockages réseaux connectés en WebDav via le service WebClient de Windows. il est alors conseillé de fermer ce service et de désactiver l'affichage des icônes pour les raccourcis. En promouvant son logiciel antivirus, l'éditeur Sophos a publié une vidéo de démonstration de cette attaque. Reste à savoir si Microsoft publiera un correctif avant son prochain Patch Tuesday prévu pour le 10 août prochain.

Commentaires

Ecrire

Ecrire un message

Votre message vient d'être créé avec succès.
LoadingChargement en cours