Microsoft a annoncé  la livraison  de 7 mises à jour de sécurité prévues dans son patch Tueeday qui sortira mardi prochain, dont l'une critique, pour corriger 20 failles  dans Office, SharePoint Server, SQL Server, Windows et d'autres éléments de sa gamme de produits. « Cela  ressemble à un mois Office, a déclaré Andrew Storms, directeur des opérations de sécurité chez nCircle. «Si vous regardez la colonne Logiciels concernés dans le bulletin d'alerte, vous lirez  « Office, Office Office ». La mise à jour jugée critique, qui occupe le rang le plus élevé du classement  de Microsoft, se penchera sur les bugs présents dans toutes les versions d'Office pour Windows. Les six autres mises à jour ont été étiquetées «importantes», ce qui constitue la cote la plus importante du  système de la notation  à 4 étapes de l'éditeur.


Il n'y a aucune mise à jour prévue pour Internet Explorer (IE), Il y a un mois,  Microsoft avait dû  sortir un correctif d'urgence pour contrecarrer les attaques actives exploitant un bogue dans son navigateur. Le 21 septembre une  mise à jour "out-of-band"  comprenait également des correctifs pour plusieurs vulnérabilités supplémentaires qui avaient initialement été prévus pour être livrées la semaine prochaine. Sans surprise, les experts en sécurité,  ont tous fait pression pour que cette mise à jour critique d'Office soit la seule à être déployée dès que possible. «Cela ne concerne pas uniquement la mise à jour critique », a déclaré Andrew Storms  Les updates sont également essentielles dans Word 2007 et Word 2010,  et seulement importantes dans Office 2003. Nous n'avons pas vu de bug critique dans Word depuis un moment, et comme je l'ai déjà dit, les nouvelles versions devraient être plus sûres. Mais ce n'est pas le cas  ici ».

L'expert en sécurité a spéculé sur le fait que la ou les failles,  puisque Microsoft ne précise pas combien de patches composent chaque mise à jour,  pourraient se trouver dans les formats de fichiers utilisés par Office 2007 et 2010 pour  Windows. La firme de Redmond a utilisé des nouveaux  formats de fichiers  XML dans Office 2007 pour remplacer d'anciens formats binaires propriétaires.

 Des failles critiques peu courantes dans Office


« Peut-être qu'il y a un bug dans la façon dont Word ouvre ou traite ses fichiers », a présumé Andrew Storms. D'autres se demandent la même chose. « Cette vulnérabilité nécessite une victime pour ouvrir ou afficher un fichier malveillant dans Outlook Web Access», a souligné Marc Carey, chercheur en sécurité chez Rapid7. « Elle pourrait résulter de la compromission complète du système si elle est exploitée », a-t-il ajouté.  De son côté, Wolfgang Kandek, CTO de Qualys, a également porté son attention sur la mise à jour de Word, mais avec un angle différent de celui de Marc Carey. « Un rang de niveau critique n'est pas très courant pour des vulnérabilités  dans Office et  indique généralement que l'utilisateur n'intervient pas sur l'ouverture d'un fichier affecté, ce qui est habituellement  nécessaire pour déclencher la vulnérabilité », considère-t-il.

Les six mises à jour importantes corrigeront  une ou plusieurs vulnérabilités dans Windows, SharePoint Server, FAST Search Server, Groove Server, Office Web Apps, Microsoft Office Communicator, Microsoft Lync et SQL Server 2012,  notamment, qui a été livré il y a 6 mois.   La plupart d'entre elles pourront être reportées, ont précisé les experts,   du moins selon les informations figurant dans la notice préalable de base. « Bulletin 7 [la mise à jour de SQL Server] dépendra du vecteur d'attaque que Microsoft dévoilera la semaine prochaine », a indiqué Androw Storms.  «Si c'est l'élévation d'un bug qui est difficile d'accès pour les pirates, vous feriez mieux d'attendre », a-t-il recommandé. L'expert de nCircle s'est basé sur les conseils figurant au calendrier: Plusieurs entreprises verrouillent leurs réseaux, les serveurs en particulier, en octobre et début novembre pour s'assurer qu'ils sont en cours d'exécution pendant la saison cruciale des fêtes de fin d'année. Au cours d'une période de verrouillage, les administrateurs informatiques survolent tous les correctifs, juste au cas où l'un deux entre eux  provoquerait des problèmes. SQL Server est souvent la partie critique de l'infrastructure back-office d'une entreprise, car le système alimente les bases de données qui gèrent les boutiques de ventes en ligne.

Un code sans cesse réutilisé

Alex Horan, responsable produit senior chez Core Security a également fait un clin d'oeil à Bulletin 7,  mais pour une raison différente. «Ces patchs mettent en évidence la quantité de code qui est réutilisé », remarque-t-il. « Bulletin 7 comporte du code réutilisé dans des versions depuis 2000. Cela fait 12 ans de réutilisation d'un code qui est maintenant vulnérable. Et c'est cela qui est possible. » Le chef produit a ajouté que les vulnérabilités avaient discrètement été exploitées pendant des années. Aussi, mardi prochain, Microsoft va commencer à déployer  une mise à jour prévue de longue date qui invalidera tous les certificats avec des clés de moins de 1024 bits.

En juin, l'éditeur avait demandé aux  utilisateurs de désactiver ces certificats,  indiquant à cette époque qu'il publierait une mise à jour en août pour empêcher Windows d'accéder à des clés courtes. La firme devait proposer cette  mise à jour au cours du mois, mais elle n'y a procédé qu'en téléchargement optionnel. La semaine prochaine, la mise à jour sera effectivement disponible pour tout le monde.

Cette remise à niveau viendra à bout des certificats possédant des clés courtes - et donc plus vulnérables qui ont été exploitées par Flame, un malware très sophistiqué, principalement utilisé pour mener des attaques de cyberespionnage au Moyen-Orient et découvert par Kaspersky Lab. Flame a infiltré les réseaux, repéré  le paysage numérique, et utilisé une variété de modules pour piller des informations. Parmi ses tours, l'un a été  appelé le «Saint Graal» par des chercheurs.  Il avait usurpé Windows Update pour se propager dans les  PC.

Microsoft a réagi en lançant  un dispositif d'arrêt d'urgence  sur trois de ses propres certificats. « Mon sentiment est que la plupart des entreprises ont déjà procédé à une  mise à jour  via  Windows Server Update Services  et que celles qui ne l'ont pas fait le nieront », pense Andrew Storms.  « En fait,  l'impact immédiat sera mis sur ceux qui n'utilisent pas WSUS ou n'ont  rien su à propos de la mise à jour à venir. Pour eux, les  choses peuvent se gâter et ils vont devoir se gratter la tête pour essayer de comprendre pourquoi. "

Microsoft  publiera les sept mises à jour le mardi 9 octobre à environ 13 heures de la côte Est.