Microsoft : le patch mensuel corrige 44 failles de sécurité Sécurité :Flash continue de poser de conséquents problèmes de sécurité, et Microsoft tente de combler les brèches. Office, Active Directory et Windows 10 sont également concernés. Explorer 11, Microsoft Edge, Cortana, la lecture audio, Maps, Miracast ou encore Windows Explorer sont concernés. Cette mise à jour corrige aussi des bugs d'affichage des notifications, de latence, et de fonctionnement du VPN. Le Bluetooth, l’application Camera, les achats du Store contenaient également des bugs. Ils sont corrigés par ce patch. Surtout, le Patch Tuesday de juin 2016 propose 16 bulletins de sécurité pour résoudre plus de 40 vulnérabilités (CVE) différentes. "Cela porte à 81 le nombre de bulletins pour les 6 premiers mois" précise Wolfgang Kandek, CTO de Qualys, qui affirme que cela "laisse augurer plus de 160 bulletins d'ici fin 2016".
Microsoft Edge adopte la ligne dure face aux contenus flash
Technologie :Microsoft a décidé d’adopter une politique prudente à l’égard des contenus Flash lus par son nouveau navigateur Edge. A l’instar de Chrome, la lecture des contenus Flash devra être activée manuellement par l’utilisateur. Pour Qualys, la priorité porte avant tout sur Adobe Flash. "Adobe a reconnu qu'une vulnérabilité (CVE-2016-4171) au sein du lecteur Flash actuel est en cours d'exploitation en aveugle" mentionne Qualys, au point que l'éditeur a reporté le patch mensuel pour Adobe Flash. "Si l'outil EMET est installé sur vos systèmes, vous êtes protégés" assure Qualys qui précise que c'est le troisième mois d'affilée qu'une faille 0-Day est découverte dans Flash.
Le bulletin MS16-071 est capital
Côté serveur, Qualys précise que le bulletin MS16-071 est capital. Il corrige une vulnérabilité critique unique sur le serveur DNS de Microsoft. En cas d'exploitation réussie, l'attaquant déclenche une exécution de code à distance (RCE) sur le serveur, ce qui est extrêmement fâcheux pour un service aussi critique que DNS. Les entreprises qui exécutent leur serveur DNS sur la même machine que leur serveur Active Directory doivent être doublement conscientes du danger que représente cette vulnérabilité.
Au niveau du poste de travail, le bulletin que Qualys juge le plus important est MS16-070. Il corrige plusieurs problèmes dans Microsoft Office, dont une vulnérabilité de Microsoft Word RTF, notée CVE-2016-0025, qui déclenche une exécution RCE au profit de l'attaquant.
Internet Explorer et Edge sortent aussi renforcés de ce patch mensuel. Les bulletins MS16-063 (Internet Explorer) et MS16-068 (Edge) traitent plusieurs vulnérabilités RCE critiques exploitables lors d'une navigation Web. Le bulletin MS16-069 concerne lui Javascript sur Windows Vista. Si l'ensemble des vulnérabilités notées plus haut sont majeures, les autres sont toutes classées comme importantes.
Tencent vient d'annoncer par ailleurs avoir découvert une faille de sécurité affectant toutes les versions du système d’exploitation Windows depuis Windows 95. Cette élévation de privilège, utilisée en conjonction avec d’autres failles, pouvait permettre d’espionner et d’intercepter le trafic entrant sur la machine. Baptisée BadTunnel, elle est décrite par Microsoft comme une élévation de privilège. Mais dans les colonnes de Forbes, le chercheur à l’origine de la découverte explique que celle-ci ouvre la voie à des attaques plus sophistiquées si l’attaquant l’utilise en conjonction avec d’autres vulnérabilités. Flash tire peu à peu sa révérence, largement concurrencé par le développement des outils HTML5. Mais la technologie d’Adobe reste encore largement utilisée par de nombreux sites web à travers le monde : selon les chiffres avancés par Proofpoint, le plug-in serait installé sur environ un milliard d'ordinateurs dans le monde.
Cela laisse les navigateurs dans une position difficile : doivent-ils purement et simplement bannir l’usage de Flash,technologie connue pour présenter de nombreuses failles (encore une révélée hier) et vulnérabilités exploitables par les cybercriminels, au risque de bloquer l’accès à certains contenus pour leurs utilisateurs ? Microsoft semble avoir fait son choix en la matière avec Edge, son nouveau navigateur.
Limiter l'autoplay
Celui-ci supporte effectivement Flash, mais adopte une attitude moins permissive à son égard. Comme l’explique John Hazen, responsable du développement au sein de l’équipe Edge, la future build de Windows Edge mettra automatiquement en pause les contenus. L’autoplay sera donc désactivé par défaut sur les publicités, vidéos et animations qui s’appuient encore sur flash.
Un blocage qui devrait uniquement s’appliquer sur les contenus « périphériques », John Hazen précise en effet que les contenus principaux devraient néanmoins être proposés en autoplay. Pour l’utilisateur qui souhaite donc voir les animations périphériques, il faudra cliquer pour activer celles-ci. « Cela permet d’améliorer de manière significative les performances tout en réduisant la consommation de mémoire du navigateur », explique John Hazen.
Les développeurs n’entendent pas s’arrêter là et promettent à l’avenir de proposer de nouvelles options permettant aux utilisateurs de contrôler les paramètres d’autoplay sur les contenus centraux de la page. « Nous nous préparons à un futur où Flash ne sera plus un plugin nécessaire et proposé par défaut sur Microsoft Edge » conclut le responsable Microsoft, preuve que l’éditeur prend également acte de la fin annoncée de la passoire Flash.
Technologie :Microsoft a décidé d’adopter une politique prudente à l’égard des contenus Flash lus par son nouveau navigateur Edge. A l’instar de Chrome, la lecture des contenus Flash devra être activée manuellement par l’utilisateur. Pour Qualys, la priorité porte avant tout sur Adobe Flash. "Adobe a reconnu qu'une vulnérabilité (CVE-2016-4171) au sein du lecteur Flash actuel est en cours d'exploitation en aveugle" mentionne Qualys, au point que l'éditeur a reporté le patch mensuel pour Adobe Flash. "Si l'outil EMET est installé sur vos systèmes, vous êtes protégés" assure Qualys qui précise que c'est le troisième mois d'affilée qu'une faille 0-Day est découverte dans Flash.
Le bulletin MS16-071 est capital
Côté serveur, Qualys précise que le bulletin MS16-071 est capital. Il corrige une vulnérabilité critique unique sur le serveur DNS de Microsoft. En cas d'exploitation réussie, l'attaquant déclenche une exécution de code à distance (RCE) sur le serveur, ce qui est extrêmement fâcheux pour un service aussi critique que DNS. Les entreprises qui exécutent leur serveur DNS sur la même machine que leur serveur Active Directory doivent être doublement conscientes du danger que représente cette vulnérabilité.
Au niveau du poste de travail, le bulletin que Qualys juge le plus important est MS16-070. Il corrige plusieurs problèmes dans Microsoft Office, dont une vulnérabilité de Microsoft Word RTF, notée CVE-2016-0025, qui déclenche une exécution RCE au profit de l'attaquant.
Internet Explorer et Edge sortent aussi renforcés de ce patch mensuel. Les bulletins MS16-063 (Internet Explorer) et MS16-068 (Edge) traitent plusieurs vulnérabilités RCE critiques exploitables lors d'une navigation Web. Le bulletin MS16-069 concerne lui Javascript sur Windows Vista. Si l'ensemble des vulnérabilités notées plus haut sont majeures, les autres sont toutes classées comme importantes.
Tencent vient d'annoncer par ailleurs avoir découvert une faille de sécurité affectant toutes les versions du système d’exploitation Windows depuis Windows 95. Cette élévation de privilège, utilisée en conjonction avec d’autres failles, pouvait permettre d’espionner et d’intercepter le trafic entrant sur la machine. Baptisée BadTunnel, elle est décrite par Microsoft comme une élévation de privilège. Mais dans les colonnes de Forbes, le chercheur à l’origine de la découverte explique que celle-ci ouvre la voie à des attaques plus sophistiquées si l’attaquant l’utilise en conjonction avec d’autres vulnérabilités. Flash tire peu à peu sa révérence, largement concurrencé par le développement des outils HTML5. Mais la technologie d’Adobe reste encore largement utilisée par de nombreux sites web à travers le monde : selon les chiffres avancés par Proofpoint, le plug-in serait installé sur environ un milliard d'ordinateurs dans le monde.
Cela laisse les navigateurs dans une position difficile : doivent-ils purement et simplement bannir l’usage de Flash,technologie connue pour présenter de nombreuses failles (encore une révélée hier) et vulnérabilités exploitables par les cybercriminels, au risque de bloquer l’accès à certains contenus pour leurs utilisateurs ? Microsoft semble avoir fait son choix en la matière avec Edge, son nouveau navigateur.
Limiter l'autoplay
Celui-ci supporte effectivement Flash, mais adopte une attitude moins permissive à son égard. Comme l’explique John Hazen, responsable du développement au sein de l’équipe Edge, la future build de Windows Edge mettra automatiquement en pause les contenus. L’autoplay sera donc désactivé par défaut sur les publicités, vidéos et animations qui s’appuient encore sur flash.
Un blocage qui devrait uniquement s’appliquer sur les contenus « périphériques », John Hazen précise en effet que les contenus principaux devraient néanmoins être proposés en autoplay. Pour l’utilisateur qui souhaite donc voir les animations périphériques, il faudra cliquer pour activer celles-ci. « Cela permet d’améliorer de manière significative les performances tout en réduisant la consommation de mémoire du navigateur », explique John Hazen.
Les développeurs n’entendent pas s’arrêter là et promettent à l’avenir de proposer de nouvelles options permettant aux utilisateurs de contrôler les paramètres d’autoplay sur les contenus centraux de la page. « Nous nous préparons à un futur où Flash ne sera plus un plugin nécessaire et proposé par défaut sur Microsoft Edge » conclut le responsable Microsoft, preuve que l’éditeur prend également acte de la fin annoncée de la passoire Flash.
Commentaires