Exception faite du correctif hors calendrier colmatant la « faille LNK » exploitée par un rootkit « scada », la vie semblait reprendre calmement, sans véritable grosse alerte. C’était sans compter sur le traditionnel « patch Tuesday » qui, ce mois-ci est particulièrement fourni. 14 mises à jour, des failles exploitables et qualifiées de critique dans les formats de fichier multimédia (Silverlight, MS-Mpeg3, codecs Cinepack) et Office… de quoi concocter de beaux vecteurs d’infection. Le blog du MSRC précise que l’indice d’exploitation est au plus haut dans 11 cas sur les 14, et que 8 correctifs sont rangés dans la catégorie « critique ». Ce qui, chez certains observateurs, est interprété de manière légèrement plus pessimiste.
Si l’on excepte l’exploitation active de la « faille LNK » utilisée par le virus Stuxnet, aucun des trous cités ne semble faire partie des panoplies d’attaque des malwares connus. Les hommes sécurité ont donc une petite marge de manœuvre avant de lancer les déploiements. Enfin, petite, la marge. Un coup d’œil rapide sur le blog de Kostya et une vidéo instructive diffusée par Immunity Sec laissent entendre que le danger n’est pas loin.
A ne pas manquer, la lecture passionnante de l’autopsie du « patch LNK » par Sylvain Sarmejeanne, qui découvre par hasard (et par désassemblage) que le correctif « out of band » ne fait pas que colmater une faille. La rustine apporte notamment deux améliorations fonctionnelles concernant la gestion du formatage en ExFat et une désactivation « complète » de l’Autorun pour les périphériques de stockage genre clefs ou disques USB.
Ajoutons à ce florilège de publications Françaises celle de Matthieu Suiche, de Moonsol, crédité pour 3 des CVE comblés ce mois-ci, et qui nous entraîne dans les détails de la faille tcpip.sys.
Toujours à propos du trou LNK, le blog de F-Secure nous apprend comment protéger les anciens noyaux XP « SP2 » qui, depuis un mois, sont sortis de la liste des noyaux maintenus par Microsoft.
Chez Adobe, on n’a, ce mois-ci, corrigé « que » 6 trous, affectant principalement Flash Player. Une mise à jour vers la version 10.1.82.76 est fortement recommandée.
Les divulgations effectuées le jour même ou le lendemain du Patch Tuesday sont devenues une tradition… peut-être pas régulière, mais fréquente. Celle du mois d’août est jugée comme « peu critique mais préoccupante » par Jerry Bryant du MSRC. Elle concerne un défaut exploitable dans Win32k.sys, découvert par la société Française Vupen. De l’aveu même des inventeurs, le trou n’est exploitable que localement et conduit à un crash machine ou « potentiellement » à une possibilité d’exécution de code.