Patch Tuesday : Microsoft reste en régime critique
Les navigateurs Edge et Internet Explorer occupent une place importante dans le Patch Tuesday de juin 2016, qui compte 16 bulletins, dont 5 critiques.
Avec 16 bulletins de sécurité, dont 5 critiques, pour une cinquantaine de failles corrigées, le Patch Tuesday de juin 2016 est d’un volume comparable à celui du mois précédent.
Les deux navigateurs Web de Microsoft figurent à nouveau en bonne position sur la feuille de soins.
Internet Explorer est couvert par le bulletin MS16-063, qui colmate 10 failles d’une importance modérée sur les éditions Serveur de Windows… et critique sur les postes clients. Plusieurs d’entre elles peuvent donner lieu à l’exécution de code à distance sur les machines visées.
Huit de ces vulnérabilités ont trait à une corruption de la mémoire : trois à cause d’un mauvais accès à certains objets et cinq au niveau des moteurs de rendu JScript9, JScript et VBScript. Les deux autres concernent respectivement le filtre XSS et le protocole Web Proxy Auto Discovery.
Pour trouver trace d’Edge, c’est dans le bulletin MS16-068, qui corrige 8 failles. L’une d’entre elles se trouve au niveau du Content Security Policy (CSP), ce standard qui permet aux développeurs Web de contrôler les ressources qu’une page peut appeler ou exécuter.
Le moteur de rendu JavaScript Chakra n’est pas épargné avec 4 vulnérabilités à son actifs. La visionneuse PDF en abrite trois, dont deux pouvant entraîner la fuite de données.
Vista toujours présent
Le bulletin MS16-069, également classé critique, est particulier. Il résorbe en l’occurrence trois failles dans des versions anciennes des moteurs JScript et VBScript : les 5.7 et 5.8, utilisées jusqu’à Internet Explorer 7… exploité sur des OS encore pris en charge (Windows Vista et Windows Server 2008). Pour IE8 et les moutures ultérieures, c’est du côté du MS16-063 que ça se passe.
Office n’échappe pas au Patch Tuesday. La suite bureautique est au cœur du bulletin MS16-070.
Sur les quatre failles corrigées, deux peuvent permettre l’exécution de code à distance. Il s’agit de la CVE-2016-0025 (qui touche Office 2007, 2010 et 2016, ainsi que Word en versions 2007 à 2016) et de la CVE-2016-3233 (qui touche Excel 2007 et 2010).
La CVE-2016-3234, qui concerne Word 2007, Word 2010, Office 2010, ainsi que les Word Automation Services sur SharePoint 2010 et 2013, peut permettre à un tiers d’accéder à des données s’il connaît la zone mémoire dans laquelle certains objets sont stockés. La CVE-2016-3235 affecte quant à elle Visio 2007 à 2016.
Dernier bulletin critique : le MS16-071, qui élimine une faille de type « use-after-free » (écriture d’une adresse mémoire libérée) liée à une mauvaise gestion des requêtes par les serveurs DNS de Windows Server 2012 et 2012 R2.
Au reste du menu figurent l’explorateur Windows, Active Directory, la visionneuse PDF, Exchange Server, le gestionnaire de tâches de Windows 10, Netlogon, Windows SMB Server, Microsoft Graphics et divers pilotes.
Crédit photo : shutteratakan – Shutterstock.com