Le contenu du Patch Tuesday de février, publié mardi dernier ne propose que cinq bulletins d’alertes. Deux des quatre bulletins de février sont classés comme « critiques », les deux autres ayant le statut « importants ». Le bulletin #1 résout directement une faille dans le système d’exploitation Windows et s’applique à la fois aux clients et aux serveurs sous Windows 7, 2008, 8 et RT. Windows XP et Vista ne sont pas concernés. Le bulletin #2 s’intéresse uniquement à l’aspect serveur de Microsoft Forefront Security, un outil anti-spam et anti-malware pour Microsoft Exchange Server.
Les bulletins #3 et #4 corrigent des vulnérabilités locales pour toutes les versions de Windows. Respectivement, une élévation de privilège et une vulnérabilité entraînant une divulgation d’information. Quant au bulletin #5, il résout un déni de service dans Windows 8. En plus de Microsoft, Adobe et Mozilla ont diffusé de nouvelles versions cette semaine.
Adobe a résolu une vulnérabilité Zero-Day dans Adobe Flash avec une mise à jour en mode console (APSB14-04). Cette dernière permet de résoudre une vulnérabilité (CVE-2014-0497) exploitée de manière aveugle. Les versions 12 et 11 de Flash sont touchées à la fois sur Windows et Mac OS X tandis que la version 11 de Flash est affectée sur la plate-forme Linux. Les utilisateurs de Google Chrome et de Microsoft Internet Explorer 10 et 11 ont automatiquement bénéficié de ces mises à jour via leurs navigateurs Web. Quant à ceux qui utilisent d’autres navigateurs tels que Safari sur Mac OS X, Firefox ou des versions antérieures d’IE, ils doivent mettre Flash à jour sur le système d’exploitation lui-même. Adobe remercie Kaspersky d’avoir découvert le problème et publié une analyse technique détaillée sur son blog.
Nous vous invitons à installer cette mise à jour aussi vite que possible. Adobe Flash est massivement installé et utilisé sur la plupart des pages Web pour fournir du contenu actif pour les vidéos et les jeux. Il est difficile de restreindre son utilisation et inutile d’imaginer que les utilisateurs puissent empêcher une attaque intégrée à une page Web bien connue et de confiance.
Mozilla a publié la version 27 de Firefox, un navigateur Web très populaire qui représente environ 23% de parts de marché d’après les statistiques collectées par BrowserCheck, notre outil gratuit de sécurisation des navigateurs Web. Mozilla a corrigé treize vulnérabilités. Cinq d’entre elles étaient considérées comme « critiques », c’est-à-dire qu’un pirate pouvait les utiliser pour prendre le contrôle de la machine ciblée. En règle générale, ce type d’attaque se produit via un site Web contrôlé par le pirate. Le site en question est soit lui-même victime de l’attaquant qui a tendu un piège aux visiteurs lambda du site, soit spécifiquement configuré pour utiliser la technique de l’empoisonnement des moteurs de recherche (SEO) qui attire les internautes sur le site compromis. Le bulletin MFSA2014-08 qui corrige l’une des cinq vulnérabilités dont le statut est critique décrit le modus operandi. Pour exploiter la faille, le pirate doit envoyer des images au navigateur Web avec certaines violations de format pour générer une erreur de traitement et exécuter ainsi le code dans le navigateur. Ce patch a permis de corriger le traitement de l’image au sein de Firefox.
Là encore, si vous utilisez ce navigateur, nous vous recommandons d’installer la toute dernière version de Firefox aussi vite que possible. (Par Qualys)