Patch Tuesday : belle moisson de juin pour Microsoft
Internet Explorer, le lecteur Windows Media et la suite Office sont les principaux produits Microsoft concernés par le Patch Tuesday de juin 2015.
Huit bulletins, dont deux critiques, pour 45 failles corrigées : le Patch Tuesday de juin 2015 se rapproche du record de densité établi au mois de mai (48 vulnérabilités regroupées en 13 bulletins).
On portera une attention particulière au bulletin MS15-056, qui regroupe à lui seul 24 vulnérabilités, toutes liées à une corruption de mémoire dans Internet Explorer.
La mise à jour est présentée comme « critique » pour toutes les versions du navigateur Web encore prises en charge sur les postes clients (d’IE6 à IE11) et modérée sur les serveurs.
La plus grave des failles corrigées pourrait permettre l’exécution de code à distance via une page Web malveillante… puis la prise de contrôle d’une machine avec les droits de la session en cours.
Le bulletin MS15-057 est également référencé comme critique. L’unique vulnérabilité colmatée concerne le lecteur Windows Media, qui pourrait être exploité pour exécuter du code à distance en ouvrant un contenu spécialement conçu hébergé sur un site Web malveillant.
La mise à jour modifie la manière dont le lecteur traite les DataObjects. En cas d’impossibilité de l’appliquer, il existe une solution de contournement : supprimer wmplayer.exe de la stratégie d’élévation d’Internet Explorer (procédure détaillée dans le descriptif du bulletin).
La suite bureautique Office est également concernée, à travers le bulletin MS15-059. Les trois failles corrigées (CVE-2015-1759, applicable à Office 2007 ; CVE-2015-1760 sur Office 2010 et 2013 ; CVE-2015-1770 pour Office 2013) peuvent entraîner une corruption de mémoire.
La dernière peut être contournée en désactivant les contrôles ActiveX au sein d’Office. Pour les deux autres, il faut paramétrer la stratégie de blocage de fichiers pour empêcher l’ouverture de documents par le biais de convertisseurs hérités.
Des fragilités dans le noyau Windows
Le bulletin MS15-060 est considéré comme « important ». Il corrige la vulnérabilité CVE-2015-1756, qui porte sur l’accès, par les contrôles communs Microsoft, à un objet en mémoire supprimé ou mal initialisé. Toutes les versions de Windows encore prises en charge sont touchées.
L’utilisateur qui invoquerait les outils de développement dans Internet Explorer après avoir cliqué sur un lien menant vers du contenu spécialement conçu pourrait permettre à un tiers d’exécuter du code à distance. Une solution de contournement en cas d’impossibilité de déployer le patch : désactiver les outils de développement d’IE via le registre système.
Pas de solution de contournement identifiée pour les 11 failles réunies dans le bulletin MS15-061. Il s’agit de vulnérabilités dans les pilotes en mode noyau Windows qui pourraient permettre à un attaquant d’obtenir des privilèges élevés sur un système cible en corrompant la mémoire.
Illustration avec les failles CVE-2015-1719, CVE-2015-1720 et CVE-2015-1721, qui concernent respectivement le mauvais traitement des éléments de la mémoire tampon, la libération incorrecte d’un objet et la validation insuffisante de certaines données transmises depuis le mode utilisateur.
Le sixième bulletin sur la liste (MS15-062) concerne une seule faille répertoriée CVE-2015-1757 et qui touche les services ADFS (Active Directory Federation Services). La soumission d’une URL spécialement conçue à un cite cible peut permettre d’élever les privilèges par une attaque de type cross-site scripting (XSS).
Retour au noyau Windows avec le bulletin MS15-063 et cette faille CVE-2015-1758 dans la composante LoadLibrary, laquelle valide parfois mal les entrées utilisateur. La brèche est exploitable un plaçant un fichier .dll malveillant dans un répertoire local de la machine visée ou sur un partage réseau.
Microsoft conclut ce Patch Tuesday avec le bulletin MS15-064 et ses vulnérabilités dans Exchange Server 2013. La plus grave peut permettre une élévation de privilèges liée à une mauvaise gestion de la politique de source commune (CVE-2015-1764), des sessions utilisateur (CVE-2015-1771) ou encore du nettoyage des chaînes HTML (CVE-2015-2359).
Crédit photo : Tatiana Popova – Shutterstock.com