Microsoft corrige cinq vulnérabilités critiques

Le train de correctifs de Microsoft pour septembre, tout juste publié, comprend un total de 12 rustines, dont cinq pour des vulnérabilités critiques permettant l’exécution de code à distance.

Les plus importants concernent Microsoft Office, avec des vulnérabilités dans le composant graphique de la suite bureautique qui pourraient permettre l'exécution de code à distance lorsqu’un utilisateur ouvre un document spécialement conçu, ou visite un site web non sécurisé qui contient les polices Embedded OpenType (MS15-097).

Il s’agit là d’une vulnérabilité de type dépassement de mémoire tampon (CVE-2015-2510) et qui est évaluée critique pour Microsoft Lync, Office 2007 et 2010, et pour Windows Vista et Server 2008. La faille réside dans la façon dont la bibliothèque Windows Adobe Type Manager gère les polices OpenType. Microsoft note qu'une exploitation réussie permettrait à un attaquant d'installer des programmes ; d’afficher, modifier ou supprimer des données ; ou encore de créer de nouveaux comptes dotés de tous les privilèges.

Couvert également par ce train de correctifs, la vulnérabilité traitée dans le bulletin MS15-099 permet également l’exécution de code à distance et affecte toutes les versions de Microsoft Office. Pour l’exploiter, un attaquant devrait conduire sa cible à ouvrir un fichier EPS malformé. Ce format n’est pas aussi courant qu’un PDF ou qu’un document Word, mais pour Wolfgang Kandek, CTO de Qualys, amener sa victime à ouvrir un tel fichier pourrait être assez simple : « les attaquants pourraient inciter les utilisateurs à ouvrir un tel le fichier en le déguisant en quelque chose d’inoffensif et d’intéressant, comme un CV pour un poste présenté sur le site Web de l’entreprise, un article sur un sujet qui est intéressant la cible, ou une offre pour un abonnement gratuit, etc ». Une raison de plus d’éduquer les utilisateurs sur ces risques.

Le train de correctifs de septembre couvre aussi Internet Explorer (MS15-094), mais également le nouveau navigateur de Microsoft, Edge (MS15-095), pour ceux qui utilisent Windows 10. Là, toutes les vulnérabilités concernées sont critiques et permettent l’exécution de code à distance sur tous les postes sous Windows, mais pas sous Windows Server : par défaut, sa configuration de sécurité améliorée limite les risques.

Deux autres bulletins signalés comme importants par Microsoft méritent encore l’attention des entreprises exécutant Active Directory (MS15-096) ou les fonctionnalités d'Outlook Web Access d'Exchange Server (MS15-103). La falille du serveur d’annuaire pourrait permettre un déni de service par un attaquant authentifié créant plusieurs comptes sur la machine. Mais Microsoft souligne que l’attaquant doit là disposer d'un compte disposant des droits nécessaires pour associer des machines au domaine afin d'exploiter cette vulnérabilité.

Adapté de l’anglais.