Pluie de bugs, de bouchons et de Service Pack

Actualités - Alerte - Posté on 09 Juin 2010 at 3:01 par Solange Belkhayat-Fuchs

Patch Tuesday en juin, si t’en loupes un, çà fera du foin (proverbe de RSSI). 10 rustines, 34 vulnérabilités, 6 exploitations à distance et 3 élévations de privilèges. Le dernier mardi des rustines signé Microsoft a un côté Omaha Beach assez spectaculaire. Sans faire de sensationnalisme, l’on ne peut qu’inciter les administrateurs à déployer dans l’urgence MS10-032, MS10-033, MS10-034 et MS10-035. MS10-033, une vulnérabilité dans les mécanismes de décompression d’un fichier multimédia, a tout pour fabriquer une belle attaque par MJpeg forgé… un grand classique. MS10-035, l’inévitable « cumulatif I.E. » du mois, bouche à lui seul 6 bulletins CVE, dont certains ouvrent la porte à une exploitation à distance et dont un autre a valu à son inventeur une place d’honneur et une prime de 10 000 $au concours P0wn2Kill de CanSecWest. MS10-038, pour sa part, ne corrige pas une faille Excel… mais 14 (dont une spécifique à l’édition Mac). Notons que la MS10-032 (Windows kernel), est considérée par certains spécialistes -dont eEye- comme étant « critique ». L’avis du Sans est bien plus pessimiste, puisque 9 des bulletins sur 10 sont qualifiés de « critique », soit au niveau des serveurs, soit dans le cadre de l’utilisation des stations de travail. Aucun défaut ne porte pourtant l’estampille « patch now » qui caractérise généralement une faille exploitée «dans la nature ».

Une rustine pouvant en cacher une autre, signalons qu’à l’occasion du Tech’Ed 2010 qui se déroule actuellement, l’on annonce la disponibilité fin juillet de la pré-version des SP1 Windows 2008 R2, de Windows 7 et d’Exchange Server 2010. Le SP de 2008 Server intègrera notamment Remote FX, intégration des technologies Calista dans la gamme « remote desktop » de Microsoft. L’on attend également une version d’HyperV disposant d’une meilleur gestion dynamique de la mémoire. Il ne faudra pas trop des vacances pour effectuer les tests de régression de ces « super bouchons », surtout sur les architectures serveur

Calme plat chez Apple qui, consciencieusement, suit à la lettre l’école Microsoft et diffuse à sa sauce le brouet du « patch cumulatif du navigateur web ». Mais pour se distinguer de son concurrent, le constructeur-éditeur-prestataire de services fait des efforts et colmate d’un coup 48 trous de sécurité. La mise à jour Safari 5.0 concerne aussi bien les utilisateurs de plateformes OS X que Windows.

Chez Adobe, cela fait plusieurs jours qu’une exploitation « dans la nature » s’attaque à une faille de Flash Player. F-Secure en décrit rapidement le principe, et l’éditeur assure qu’il travaille encore sur la rustine et qu’a priori, la préversion de la 10.1 ne serait pas malade de cette peste. A noter également la détection, toujours par F-Secure, d’un « dropper » exploitant un exploit PDF.

2 commentaires

Laisser une réponse