Microsoft résout IE, Office en un grand mois de mises à jour de sécurité

Microsoft a publié des correctifs pour corriger 19 vulnérabilités critiques dans son logiciel mardi, dont cinq failles dans son navigateur Internet Explorer que les experts en sécurité conseillent aux administrateurs informatiques de corriger immédiatement.

Le total de 11 sécurité Les mises à jour publiées pour le mois d'août constituent la plus grande série de mises à jour de Patch Tuesday publiées par Microsoft depuis février dernier et devraient permettre aux administrateurs informatiques de sécuriser les systèmes de leurs entreprises. "Les gens vont être très occupés avec cette charge", a déclaré Jason Miller, chef de l'équipe de données de sécurité pour Shavlik Technologies, un fournisseur de logiciel de gestion de patch à St. Paul, Minnesota.

Six des correctifs, qui peuvent être trouvés sur le site Web de Microsoft, sont jugés critiques, tandis que cinq sont jugés importants.

[Plus d'informations: Comment supprimer les logiciels malveillants de votre PC Windows]

Miller et d'autres experts de la sécurité citent Microsoft Security Bulletin MS08-045, un Mise à jour de sécurité cumulative pour Internet Explorer, en tant que priorité absolue parmi les mises à jour de ce mois-ci. La mise à jour corrige cinq vulnérabilités signalées confidentiellement et une qui a déjà été divulguée publiquement et pour laquelle un code d'attaque existe déjà, ce qui en fait un défaut zéro jour.

Don Leatham, directeur des solutions et stratégie pour Lumension Security, a déclaré que les vulnérabilités de IE affectent le langage HTML (Hypertext Markup Language) est une raison suffisante pour rendre les correctifs de la plus haute importance, puisque la possibilité d'exploitation est si vaste. "Chaque site Web dans le monde utilise du HTML", a-t-il déclaré. Lumension, basé à Scottsdale, Arizona, fournit des logiciels et des services de gestion des correctifs et des vulnérabilités

Shavlik's Miller a déclaré que les correctifs IE et une autre mise à jour critique publiée mardi corrige une vulnérabilité dans le contrôle ActiveX pour Snapshot Viewer pour Microsoft Access. - MS08-041 - sont liés car ils permettent à un attaquant de créer un site Web exploitant ces vulnérabilités. Leatham a également cité l'exploit Snapshot Viewer comme une haute priorité pour les administrateurs informatiques, car de nombreuses entreprises utilisent largement Access et son outil Snapshot Viewer.

"Vous pouvez être sûr que les utilisateurs utilisent le spectateur partage les informations avec les partenaires, les clients et en interne étant donné la popularité de la suite Office et la quantité d'entreprises qui utilisent Access.

Une mise à jour corrige une vulnérabilité dans le système de gestion des couleurs Microsoft Windows MS08-046 - devrait également être installé immédiatement, car il pourrait permettre une attaque si un utilisateur accède à une page Web et affiche un graphique particulier, selon les chercheurs. Le système de gestion des couleurs fait partie du sous-système graphique de Windows.

"Étant donné que [la vulnérabilité] est basée sur le Web et graphique, vous voulez certainement accorder une attention particulière à celle-ci", a déclaré Leatham. Deux mises à jour d'août jugées importantes devraient également intéresser les professionnels de l'informatique, même si Microsoft les a notées en dessous des mises à jour critiques. Ils sont MS08-047, qui corrige une vulnérabilité dans le traitement de la stratégie IPsec, et MS08-50, qui corrige une faille dans Messenger.

Bien que Microsoft n'évalue pas les failles qui permettent la divulgation d'informations comme critique, la vulnérabilité IPsec, qui pourrait transformer ce que les gens pensent être des tunnels d'information cryptés fiables en communications ouvertes, pourrait le devenir pour certaines entreprises utilisant IPsec intensivement pour transférer des données critiques, telles que les organisations de soins de santé qui travaillent avec des informations confidentielles sur les patients. n'a pas évalué la vulnérabilité de Messenger comme étant critique car elle ne concerne que la divulgation d'informations; Cependant, cela ouvre la possibilité d'une «attaque d'ingénierie sociale que nous n'avions jamais vue auparavant» et devrait être prise au sérieux, a déclaré Amol Sarwate, responsable du laboratoire de recherche sur les vulnérabilités chez Qualys. Qualys, basé à Redwood Shores, en Californie, fournit des services de gestion des vulnérabilités et de conformité aux politiques.

"Il permet aux attaquants d'inviter des gens à des conférences audio ou vidéo en usurpant l'identité d'une victime", a-t-il dit, notant qu'il s'agit également d'une vulnérabilité zéro jour.

Microsoft a annoncé jeudi qu'il publierait 12 mises à jour de sécurité mardi. de son cycle de correctifs mensuel, appelé Patch Tuesday par les chercheurs en sécurité, mais à la dernière minute tiré une de ces mises à jour en raison de problèmes de qualité, a déclaré la société.

Microsoft n'a pas fourni plus d'informations sur si et quand il publierait la mise à jour; Cependant, lorsque des mises à jour ont été effectuées à la dernière minute, elles sont généralement publiées dans le cadre du cycle de correctifs du mois prochain.

Microsoft a envoyé un nouvel avis de sécurité et un correctif pour l'outil que de nombreuses entreprises utilisent pour corriger les applications Microsoft, Windows Server Update Services, a déclaré Leatham. Il a conseillé aux entreprises de s'assurer qu'elles mettent à jour l'outil et de vérifier qu'il fonctionne correctement avant d'installer les correctifs d'août.

"Il y avait un bug bizarre qui empêchait de déployer des correctifs de sécurité dans les organisations". "Vous voulez vous assurer que votre serveur WSUS a été corrigé" avant d'installer une autre série de mises à jour.