Patch Tuesday : une attraction nommée spouleur
Le spouleur d’impression de Windows s’invite dans le Patch Tuesday de juillet 2016, qui comporte 15 bulletins, dont 6 critiques.
Onze bulletins, dont six critiques, avec des failles dans Edge, Internet Explorer, .NET Framework, Flash Player ou encore Office : à première vue, le Patch Tuesday de juillet 2016 est dans la lignée des précédents pour ce qui est de son contenu.
Un bulletin critique attire toutefois l’attention. Référencé MS16-087, il corrige deux vulnérabilités associées au spouleur, le service qui gère la mise en mémoire des travaux d’impression sur Windows.
La première de ces brèches (CVE-2016-3238) peut permettre l’exécution de code distant lorsque le spouleur ne valide pas correctement les pilotes d’impression lors de l’installation d’une imprimante à partir d’un serveur.
Pour l’exploiter, un tiers doit parvenir à réaliser une attaque de type « Man-in-the-Middle » sur une station de travail ou un serveur d’impression ; ou bien configurer un serveur d’impression non autorisé sur un réseau cible.
La mise à jour résout le problème en affichant un avertissement pour les utilisateurs qui tentent d’installer des pilotes d’imprimante non fiables. Elle modifie par ailleurs la manière dont le spouleur écrit dans le système de fichiers (CVE-2016-3239).
Des plugins et des scripts
Autre bulletin critique : le MS16-084, qui colmate 14 failles dans Internet Explorer, dont la plus grave peut permettre l’exécution de code distant via une page Web malveillante.
Les problèmes se trouvent au niveau de la gestion des objets en mémoire par le navigateur (CVE-2016-3240 notamment) ainsi que par les moteurs JScript et VBScript (CVE-2016-3204 entre autres). Microsoft recense également des soucis dans la manière dont le butineur analyse le code HTML et dont le filtre XSS valide JavaScript (CVE-2016-3273).
Le bulletin MS16-085 a la même saveur, mais appliquée à Edge, avec 13 failles, dont une liée à l’analyse des réponses HTTP. Le moteur de script Chakra n’est pas épargné.
Le MS16-086 est un peu particulier. Dans la continuité du MS16-069 diffusé le mois dernier, il corrige une faille dans des versions anciennes de JScript et VBScript : les 5.7 et 5.8, utilisées jusqu’à Internet Explorer 7… exploité sur des OS encore pris en charge (Windows Vista et Windows Server 2008). Pour IE8 et les moutures ultérieures, c’est du côté du MS16-084 que ça se passe.
Office figure aussi sur la feuille de soins, avec le bulletin MS16-088 et ses 7 failles qui touchent différentes composantes de la suite, dans leurs versions 2007 à 2016.
Trois de ces failles touchent aussi SharePoint et les Office Web Apps. L’une d’entre elles peut être neutralisée en utilisant une stratégie de blocage des fichiers pour empêcher l’ouverture de RTF issus de sources inconnues ou non fiables.
Le dernier bulletin critique (MS16-093) regroupe les mises à jour diffusées par Adobe pour Flash Player, ici sur IE10, IE11 et Edge.
Crédit photo : shutteratakan – Shutterstock.com