News
Le Patch Tuesday de novembre 2013 vu par Wolfgang Kandek, CTO de Qualys
novembre 2013 par Wolfgang Kandek, CTO de Qualys
Microsoft a annoncé que le Patch Tuesday de novembre 2013 diffusé cette semaine contient huit mises à jour de sécurité pour le système d’exploitation Windows et des applications Microsoft Office. En outre, ce patch traite un sujet hautement prioritaire, à savoir la vulnérabilité Zero Day dans une bibliothèque de graphiques utilisée par Microsoft Office et des versions plus anciennes de Windows. Aucun patch n’est encore disponible, mais il existe une solution de contournement à l’impact relativement faible.
Cette faille Zero Day est détaillée dans l’avis de sécurité KB2896666 en tant que vulnérabilité au sein du composant de traitement des graphiques TIFF et les attaques sont limitées au Moyen-Orient et à l’Asie du Sud. Les attaques sont menées via des documents Microsoft Word et la vulnérabilité est présente dans les versions 2003, 2007 et 2010 de Microsoft Office. Microsoft a publié une solution de contournement qui désactive le rendu TIFF dans la bibliothèque de graphiques affectée. Cette opération est sans incidence si vous ne travaillez pas régulièrement avec des fichiers au format TIFF. TIFF est un format fréquemment utilisé pour numériser des documents et par l’industrie de l’édition. La boîte à outils EMET (Enhanced Mitigation Experience Toolkit - « expérience de mitigation améliorée ») diffusée par Microsoft empêche l’exécution de l’attaque, comme pour tous les récentes vulnérabilités Zero Day dans Internet Explorer. Il s’agit d’une mesure de sécurité proactive très performante et à déployer sur vos systèmes Windows.
Trois mises à jour « critiques » concernent IE et Windows tandis que cinq mises à jour « importantes » portent sur Office et Windows. La mise à jour critique d’Internet Explorer doit être une priorité. En effet, résoudre sans tarder les vulnérabilités au sein des navigateurs Web est de plus en plus crucial car nous passons toujours plus de temps à accéder à Internet et à exécuter des applications à l’aide de nos navigateurs. Le récent rapport SIR de Microsoft souligne en page 116 qu’en 2013 la majorité des attaques ont été menées via les navigateurs Web, puis par les applications de transfert de fichiers et, en troisième lieu seulement, via la messagerie électronique.
L’ensemble des mises à jour critiques et l’une des mises à jour importantes portent sur l’exécution de codes à distance, ce qui devrait faire l’objet d’une priorité supérieure. Les autres mises à jour importantes concernent l’élévation de privilèges ou une situation de déni de service. Aussi, en conclusion, ce Patch Tuesday est de taille moyenne, à l’exception de la vulnérabilité Zero Day au sein du composant de traitement des images TIFF pour laquelle Microsoft a constaté des attaques limitées.
