Microsoft : Le Tuesday Patch du 14 septembre sera conséquent

Microsoft a fait savoir aujourd'hui qu'elle livrera neuf mises à jour de sécurité la semaine prochaine pour corriger 13 bugs dans Windows, dans Office et dans son serveur web.

C'est plus de deux fois le nombre de correctifs accompagnant la plus grosse mise à jour livrée en 2010 hors calendrier par l'éditeur. Quatre des mises à jour annoncées sont qualifiées de «critiques», c'est à dire à l'échelon le plus élevé des menaces dans le système d'évaluation à quatre niveaux de Microsoft, et les cinq autres sont notées comme "importantes", soit au deuxième rang. L'énumération des mises à jour que fait l'éditeur dans la communication mensuelle qu'il adresse à ses clients est, selon Wolfgang Kandek, chef de la sécurité informatique chez Qualys, «très importante», du fait que le mois de septembre devrait être traditionnellement un mois "off" pour les correctifs.

Une succession de mises à jour critiques

Microsoft a livré alternativement de grosses et de petites séries de patchs, réservant les mois pairs aux mises à jour les plus importantes. En août, par exemple, l'éditeur avait livré le nombre record de 14 mises à jour pour patcher 34 vulnérabilités ! La série du mois de juillet se limitait cependant à quatre bulletins de sécurité corrigeant cinq failles. Compte tenu de ces va-et-vient, on aurait pu s'attendre à ce que Microsoft émette cette fois un petit nombre de mises à jour de sécurité. « Je suis un peu surpris par la quantité, » a déclaré Wolfgang Kandek. « Peut-être que certaines d'entre elles sont destinées à résoudre la question de la .dll. » Celui-ci fait référence à une vulnérabilité qui touche un grand nombre d'applications Windows - certains chercheurs en sécurité en ont comptabilisé plus de 200 - révélée publiquement il y a trois semaines par HD Moore, chef de la sécurité chez Rapid7 et créateur de la boîte à outils Open Source Metasploit. À l'époque, HD Moore avait annoncé que plusieurs dizaines de programmes Windows étaient infectés parce qu'ils pouvaient facilement charger de mauvaises bibliothèques de code, autrement nommées "bibliothèques de liens dynamiques", ou "DLL, » offrant aux pirates la possibilité de détourner un PC.

Un outil pour bloquer les tentatives de substitution de DLL

Une semaine plus tard, l'éditeur faisait savoir qu'il ne serait pas en mesure de fournir un correctif pour Windows destiné à contrecarrer ces attaques, renvoyant le problème vers les développeurs d'applications, et leur demandant de corriger cette faille dans leurs propres produits. Microsoft a néanmoins livré un outil pour bloquer les attaques possibles, mais difficile à utiliser. « Certains des correctifs annoncés pourraient être destinés à résoudre la question des DLL, » a avancé Wolfgang Kandek, faisant référence aux deux mises à jour prévues pour corriger des vulnérabilités dans la suite Office. Les chercheurs ont estimé que plusieurs des applications Office, notamment PowerPoint 2007 et 2010 et Word 2007, étaient vulnérables au bogue, connu sous la dénomination de « détournement de DLL. » Le « Bulletin n°3 ,» inclus dans le préavis publié par Microsoft, pourrait être destiné à résoudre un problème de DLL dans Word.

[[page]]

Huit des neuf mises à jour affectent une ou plusieurs versions de Windows. L'une d'elles corrige l'IIS (Internet Information Services) dans le logiciel de serveur web de l'éditeur, et deux d'entre elles concernent Office. (Microsoft a listé l'un des bulletins dans deux catégories.) "À mon avis, il y a peu de chance qu'ils touchent au problème de DLL dans Windows, » a estimé Wolfgang Kandek. « J'aurais bien aimé, mais je pense que c'est une décision difficile, parce qu'une telle modification a potentiellement la capacité de bloquer les applications. » Certains experts en sécurité ont émis l'hypothèse que Microsoft pourrait proposer aux utilisateurs de Windows une façon de se protéger, en déclenchant par exemple un avertissement lorsqu'une DLL ou un fichier exécutable est chargé à partir d'un site web ou un SMB (Server Message Block). Ils estiment en effet que la plupart des utilisateurs ne mettront pas en place l'outil de blocage. « J'imagine mal les utilisateurs mettre en place cet outil, » a déclaré le responsable de Qualys. Mais Microsoft pourrait proposer une autre solution pour sa mise en oeuvre. La semaine dernière, Jerry Bryant du Microsoft Security Response Center a déclaré que l'éditeur distribuerait l'outil de blocage via son service Windows Server Update Services (WSUS), le mécanisme le plus utilisé en entreprise pour traiter les questions de mises à jour. Il a également ajouté que l'éditeur envisageait de livrer son outil à tous les utilisateurs via Windows Update.

Les anciens Windows sont devenus très peu sûrs

« Ce cocktail de mises à jour est en grande partie destiné aux anciennes versions de Windows, » fait remarquer Don Leatham, directeur senior des solutions et de la stratégie chez Lumension. Celui-ci fait remarquer que Windows XP Service Pack 3 (SP3), la seule version du système d'exploitation sorti il y a 9 ans, dont Microsoft assure toujours le support technique, recevra huit mises à jour, dont trois critiques. Comparativement, Windows Vista, est concerné par cinq mises à jour seulement, dont deux « critiques, » tandis que Windows 7 bénéficiera de trois mises à jour, dont aucune critique. «Ces chiffres montrent que les entreprises fonctionnant avec des machines tournant sous Windows 7 bénéficient d'un environnement beaucoup plus sûr. Pour elles, ce Tuesday Patch sera pratiquement un non-événement, » a anticipé Don Leatham. «Les entreprises qui sont restées arc-boutées sur Windows XP devraient reconsidérer leur choix d'une manière critique et estimer les coûts et les facteurs de risque associés à cette plate-forme. »

Pas d'infos sur ces patchs

Microsoft, qui informe généralement dans ses avis de sécurité des bugs qu'il projette de résoudre, ne dit rien sur le détournement de DLL ou sur le patch d'autres bogues pas encore résolus. « Nous ne pouvons pas faire état de détails sur les mises à jour qui seront livrées, » a répondu Jerry Bryant. "La question de la charge de DLL fait partie d'une enquête en cours. Nous prévoyons de diffuser des bulletins de sécurité adaptés pour les produits affectés et/ou des mises à jour pour parer à ce problème." La semaine dernière, Microsoft a indiqué qu'elle se penchait actuellement sur des rapports récents faisant état d'une vulnérabilité connue de longue date et affectant Internet Explorer (IE). Un correctif est peu probable, dans la mesure où Microsoft communique toujours à l'avance sur les mises à jour de sécurité d'IE. Les neuf mises à jour du prochain Tuesday Path seront disponibles le 14 septembre à partir de 1 h du matin, Eastern Time (soit 7 heures, heure française).