Microsoft : douze bulletins de sécurité en septembre, dont quatre critiques

Deuxième mardi du mois oblige, Microsoft a publié hier soir ses bulletins de sécurité. On en compte cette fois douze, dont quatre critiques. Les failles se répartissent entre de nombreux produits, dont Windows, Office, le framework .NET ou encore Active Directory.

Depuis plusieurs années, Microsoft a pour habitude de publier un lot de correctif chaque deuxième mardi de chaque mois. Un rythme demandé initialement par le monde professionnel, qui souhaitait avant tout disposer d’un cycle prévisible pour prévoir l’installation des mises à jour. En ce mois de rentrée, l’éditeur propose douze bulletins, chacun pouvant contenir des correctifs pour plusieurs failles différentes.

Quatre de ces bulletins sont critiques :

• MS15-094 : corrige une flopée de 13 failles dans Internet Explorer, sur l’ensemble des versions actuellement en cours de support (de 7 à 11) sous Windows Vista, 7, 8, 8.1 et 10. Aucun facteur atténuant n’existe, y compris le fait d’utiliser un compte standard (donc sans droits administrateur). L’une des failles a été révélée publiquement.
• MS15-095 : corrige quatre failles de sécurité dans Edge, une situation prévisible car même si le navigateur est une mouture modernisée d’Internet Explorer 11, il en partage une partie du code. Là encore, aucun facteur atténuant et une faille révélée publiquement.
• MS15-097 : corrige plusieurs vulnérabilités (signalées confidentiellement) d’élévation de privilèges liées à la corruption de la mémoire dans Microsoft Graphics, dont une permettant de contourner le mécanisme ASLR dans le noyau. Aucun facteur atténuant. Les failles peuvent être exploitées à distance.
• MS15-098 : corrige plusieurs vulnérabilités signalées confidentiellement dans le Journal Windows pouvant être exploitées à distance. Pas de facteur atténuant.

Dans les quatre cas, exploiter les failles permettrait l’exécution d’un code arbitraire, ce que l’on pouvait évidemment déduire du statut critique des mises à jour. Les autres failles, sans être critiques, sont quand même considérées comme « importantes ». Elles touchent Office, Exchange Server, Hyper-V, Skype Entreprise Server, Lync Server, Windows Media Center, le framework .NET et Active Directory.

Comme d’habitude, plus vite les correctifs sont installés, meilleure sera la protection contre d’éventuelles exploitations. Sur les quatre failles critiques, aucune n’est cependant à signaler pour l’instant. Dans le cas de Windows 10, on rappellera que les correctifs sont compris dans la mise à jour cumulative disponible depuis hier soir. Ceux qui avaient déjà tout installé ne récupèreront donc que la nouvelle partie, tandis que ceux qui auront tout juste installé le système auront un téléchargement plus conséquent.