Advisory Council Meeting, 25 September 2014, Paris - Français
Les failles Exchange et SQL sont des bogues de type "Elevation of Privilege", ce qui signifie qu'un attaquant pourrait théoriquement les exploiter pour obtenir un accès administratif à un PC. L'une des failles de Windows est qualifiée de bug «spoofing», ce qui pourrait aider les pirates à tromper l'utilisateur, notamment en visitant des sites Web malveillants.
La quatrième mise à jour corrige une faille Windows permettant à un attaquant d'exécuter du code non autorisé sur le PC d'une victime, Microsoft a déclaré. Normalement, ce type de défaut est jugé "critique" par Microsoft, mais dans ce cas, le bug a probablement reçu une note moins sévère car il ne fonctionne pas sans que l'utilisateur ne prenne des mesures supplémentaires ou ajoute un logiciel ou des pilotes spéciaux, dit Eric Schultze, directeur de la technologie chez Shavlik Technologies
[Comment faire pour supprimer les logiciels malveillants de votre PC Windows]
La vulnérabilité SQL affecte Microsoft Le logiciel SQL Server et le logiciel SQL interne livré avec certaines versions de Windows. Il n'affecte pas les utilisateurs de Vista ou XP, mais il existe sur les produits Windows 2000, Windows Server 2003 et Windows Server 2008.
Microsoft a publié une note sur les correctifs de sécurité à venir sur son site Web jeudi. À moins qu'elle ne soit forcée de sortir une solution d'urgence, la société publie ses correctifs de sécurité le deuxième mardi de chaque mois.
Microsoft a également annoncé jeudi qu'elle prévoyait de mettre à jour le logiciel Windows Update
La mise à niveau accélérera le processus de téléchargement du logiciel, a déclaré Michelle Haven, chef de produit Windows Update, dans un article publié sur le blog. "Nous avons énormément investi pour réduire le temps que met l'agent Windows Update à analyser pour voir si de nouvelles mises à jour sont disponibles", a-t-il écrit. "Dans ce cas, nous avons constaté des baisses de près de 20% des temps d'analyse sur certaines machines."
Microsoft prévoit d'apporter d'autres modifications au logiciel Windows Update et à l'infrastructure principale au cours des prochains mois, Haven dit
Microsoft publiera quatre mises à jour critiques pour plusieurs logiciels mardi prochain,
Les patchs qui seront publiés sur Patch Tuesday comprennent des correctifs pour une vulnérabilité qui permet l'exécution de code à distance dans Windows Media Player 11 sur divers systèmes d'exploitation Microsoft et pour une vulnérabilité permettant l'exécution de code à distance dans différentes versions du système d'exploitation Windows et des produits connexes, y compris 2003 Server, Vista, XP, Office, .Net Framework, Works, Visual Studio, Visual FoxPro et d'autres logiciels
Un bug SMB corrigé par Microsoft mardi a été rendu public il y a plus de sept ans. Certains correctifs de sécurité prennent du temps. Sept ans et demi, en fait, si vous comptez le temps qu'il faudra à Microsoft pour corriger un problème de sécurité dans son service SMB (Server Message Block), corrigé mardi. Ce logiciel est utilisé par Windows pour partager des fichiers et imprimer des documents sur un réseau.
Dans un blog, Microsoft a reconnu que "des outils publics, y compris un module Metasploit, sont disponibles pour effectuer cette attaque". Metasploit est une boîte à outils open-source utilisée par les pirates et les professionnels de la sécurité pour créer du code d'attaque.
Microsoft publiera des correctifs de sécurité critiques pour IE et Exchange la semaine prochaine et des correctifs importants pour SQL Server et Visio.
Microsoft prévoit de corriger les failles critiques de ses logiciels Internet Explorer et Microsoft Exchange Server la semaine prochaine.