Patch Tuesday d’avril

Comme chaque premier jeudi du mois, Microsoft a publié sa notification avancée du Patch Tuesday de ce mois d’avril. Il compte neuf bulletins affectant toutes les versions de Windows, certains composants Office et serveur ainsi que Windows Defender sur Windows 8 et RT. Cependant seuls deux bulletins sont jugés « critiques ».

Le bulletin 1 est destiné à toutes les versions d’Internet Explorer (IE), y compris la plus récente IE 10 sur Windows 8 et RT, et devrait être la priorité ce mois-ci. Il est classé « critique » et permet l’exécution de code à distance par le biais du vecteur d’attaque aujourd’hui le plus commun : l’un des utilisateurs de l’entreprise accédant à un site Web malveillant. Le bulletin 2 est la seconde vulnérabilité classée « critique » et affecte le système d’exploitation Windows, à l’exception des versions les plus récentes, Windows 8, Server 2012 et Windows RT (la version tablette).

Les bulletins restants sont tous évalués «importants» et affectent Windows, le serveur Sharepoint ainsi que, il est intéressant de le noter, un produit de sécurité. Il s’agit du scanner de malware de Microsoft, Windows Defender sur Windows 8 et Windows RT. Les vulnérabilités corrigées dans ces bulletins permettent généralement à l’attaquant l’escalade de privilèges. Il accède ainsi du niveau de privilège d’un utilisateur normal à celui d’un utilisateur de niveau administrateur. Il peut également tromper l’utilisateur en l’incitant à ouvrir un fichier spécialement conçu.

Parmi les autres annonces auxquelles il faut prêter attention, le projet source PostGreSQL Open a publié une nouvelle version de son produit de base de données corrigeant cinq failles de sécurité. L’une d’elles, CVE-2013-1899 permet à l’attaquant de supprimer des fichiers de base de données sans authentification, ce qui conduit à la perte de données et au déni de service. PostGreSQL a jugé cette faille suffisamment importante pour justifier la semaine dernière une pré-annonce de la publication d’un correctif cette semaine.

Il faut également garder à l’esprit que Oracle a prévu une publication supplémentaire pour Java ce mois-ci. Normalement, Java bénéficie d’une nouvelle version tous les quatre mois : février, juin et octobre de chaque année. En raison de la quantité et de la gravité des vulnérabilités récemment découvertes, il y aura une nouvelle version qui sera mise en ligne le 16 avril. (Wolfgang Kandek, CTO de Qualys pour DataSecurityBreach.fr)