Microsoft : bulletins de sécurité d’avril et mises à jour pour les Surface

Comme chaque deuxième mardi de chaque mois, Microsoft a mis en ligne ses bulletins de sécurité pour l’ensemble de ses produits. En plus des traditionnelles mises à jour pour Windows, Office et les autres, la firme en profite pour régler des problèmes sur ses deux tablettes, les Surface RT et Pro.

C’est un total de neuf bulletins qui ont été publiés ce mois-ci, pour un total de treize failles colmatées. Parmi ces bulletins, deux sont critiques pour un total de trois failles. En voici le détail :

Bulletins critiques :

• MS13-028 : corrige deux failles dans Internet Explorer qui pourraient permettre une exécution de code à distance. Les brèches sont exploitables via une page web spécialement conçue.
• MS13-029 : corrige une faille dans le client Bureau à distance qui pourrait permettre une exécution de code à distance.  Là encore, la faille est exploitable via une page web spécialement conçue.

Bulletins importants :

• MS13-030 : corrige une faille dans SharePoint Server qui pourrait une fuite d’informations. La brèche ne peut être exploitée que si l’attaquant satisfait aux requêtes d’authentification du site SharePoint.
• MS13-031 : corrige deux vulnérabilités dans le noyau Windows qui pourrait permettre une élévation des privilèges. Pour réussir, l’attaquant aurait besoin d’une application spécialement conçue et disposer d’une session locale.
• MS13-032 : corrige une faille dans Active Directory qui pourrait permettre des attaques par déni de service si elle était exploitée. Il faut cependant que l’attaquant utilise des requêtes spécifiques.
• MS13-033 : corrige une faille dans le processus CSRSS qui pourrait permettre une élévation de privilèges. La brèche est exploitable via une identification sur une session locale.
• MS13-034 : corrige une faille dans le client du logiciel anti-programme malveillant qui pourrait permettre une élévation des privilèges. L’attaquant doit disposer d’informations d’authentifications valides.
• MS13-035 : corrige une faille dans le composant de nettoyage HTML d’Office qui pourrait permettre là encore une élévation des privilèges. La brèche peut être exploitée via certains documents spécialement conçus.
• MS13-036 : corrige trois vulnérabilités dans Windows qui pourraient permettre une élévation des privilèges. Pour être exploitées, ces failles nécessitent l’ouverture d’une session en local.

Notez que la majorité de ces failles a une dangerosité moindre lors d’une exploitation si le compte utilisateur est standard et non administrateur.

Les tablettes Surface règlent leurs soucis avec le Wi-Fi 

Aux côtés des habituels bulletins de sécurité, Microsoft publie également des mises à  jour pour ses tablettes Surface RT et Pro. La version RT reçoit ainsi un correctif longtemps attendu pour le Wi-Fi qui devrait résoudre la plupart des soucis liés au mode connexion limitée. Ce dernier est censé s’activer automatiquement quand la tablette détecte une utilisation sur réseau cellulaire, auquel cas elle désactive des fonctionnalités pour économiser la bande passante. Problème : ce mode s’activait de lui-même de manière trop zélée.

La Surface Pro règle ses comptes également avec le Wi-Fi, en augmentant sa compatibilité avec certains équipements. La mise à jour lui apporte en outre un nouveau pilote de bas niveau pour le SSD afin d’accélérer les performances au démarrage. La compatibilité avec les claviers tiers est également renforcée, et un souci d’utilisation tactile dans le menu UEFI a été réglé. Évidemment, les clients français seraient sans doute plus heureux de ces apports si la tablette était vendue en Europe. Pour l’instant, aucune nouvelle de ce côté.

Comme d’habitude, les mises à jour sont disponibles depuis Windows Update.