Pour Microsoft, la mise à jour de sécurité (ex-Patch Tuesday) livrée en septembre est l’une des plus importantes de l’année. Elle vient corriger 50 failles dans ses produits et 26 dans le lecteur Flash associé à son navigateur web Edge. Les correctifs sont réunis dans 14 bulletins de sécurité, incluant celui qui concerne Flash Player. Sept de ces bulletins sont critiques. Ils concernent des failles trouvées dans Windows, Internet Explorer, Edge, Exchange, Office et dans les services et apps Office web.

Pour les postes de travail, les administrateurs devraient en priorité appliquer les correctifs portant sur les navigateurs Internet Explorer (bulletin MS16-104) et Edge (MS16-105), sur la suite bureautique Office (MS16-107), sur le composant Graphics (MS16-106), sur OLE Automation pour le moteur de script VBScript (MS16-116) et pour Flash Player (MS16-117). En effet, les failles en question peuvent être exploitées pour exécuter du code à distance en entraînant les utilisateurs à visiter des sites web compromis ou à ouvrir des fichiers créés à dessein. Ce sont deux des vecteurs d’infection les plus utilisés dans les attaques par malwares. L’une des vulnérabilités d’Internet Explorer, CVE-2016-3351, pourrait être utilisée pour divulguer des informations utilisées ensuite dans une attaque. Dans son bulletin, Microsoft précise que, même si cette faille n’a pas été publiquement révélée, elle a déjà été exploitée. L’éditeur ne donne pas de détail sur les attaques en question.

Correctifs pour Silverlight et pour les SDK de conversion Oracle OIT

Une mise à jour de sécurité portant sur Silverlight (MS16-109) doit également faire partie des priorités, même si elle n’est pas dite « critique » mais seulement « importante ». Elle pourrait elle aussi permettre l’exécution de code à distance si un utilisateur visite un site web compromis comportant une application Silverlight développée à cet effet. Du côté des logiciels serveurs, les administrateurs devront se focaliser sur la mise à jour de la messagerie Exchange (MS16-108) qui corrige des failles critiques dans OIT (Oracle Outside In Technology) utilisé pour la conversion de formats. Cette collection de SDK permet d’extraire, de normaliser, de modifier et de visualiser des fichiers non structurés.

Ce sont des chercheurs de l’équipe Talos de Cisco qui ont communiqué les failles trouvées dans OIT en prévenant que cela touchait plusieurs produits dont Exchange. Oracle a livré des correctifs en juillet et Microsoft les répercute maintenant. Les failles affectant OIT peuvent elles aussi être exploitées pour exécuter du code distant, simplement en envoyant un mail comportant une pièce jointe spécifique à un serveur Exchange vulnérable.

SharePoint Server 2007, 2010 et 2013 également concernés

La mise à jour d’Office doit également être prise en considération par les administrateurs parce qu’elle concerne SharePoint Server 2007, 2010 et 2013 et que les failles qu’elle corrige pourraient permettre à des attaquants de prendre le contrôle complet de tels serveurs en utilisant le service d’automatisation de Word et Excel, explique dans un billet Amol Sarwate, directeur du Vulnerability Labs de Qualys.

Enfin, les administrateurs serveurs devront aussi se préoccuper du composant Graphics qui touche les serveurs Windows et du bulletin MS16-110 qui s’applique à Windows Server 2008 et 2012. Le correctif intervient sur des failles qui permettraient aux attaquants ayant un compte d’utilisateur de domaine de créer une requête spécifique entraînant Windows à exécuter du code arbitraire avec des autorisations élevées, met en garde Amol Sarwate.