octobre 12th, 2010

Serait-ce pour saluer la proximité de la date-anniversaire de William Henry Gates troisième du nom ? Toujours est-il que le « patch Tuesday » de ce mois d’octobre est l’un des plus importants de l’histoire Microsoftienne. 16 rustines « seulement », mais du cumulatif d’anthologie puisque lesdits bouchons de sécurité colmatent 51 CVE, dont 10 d’entre eux sont exploitables à distance et 3 pourraient servir à des élévations de privilèges. Les alertes MS10-071, 75,76 et 77 sont estimées comme critiques par le MSRC. 12 bulletins « station » obtiennent la pourpre cardinalice en matière d’indice d’exploitation, et 4 sur le créneau des serveurs. Cette débauche de carmin ne doit toutefois pas déclencher de panique, puisque seuls les bulletins 10-077, 82 et 83 se voient qualifiés par le Sans d’un avertissement « patch now ». A noter également le nombre important de découvertes créditées à la société Française Vupen. Le prix de la rustine la plus lourde est, une fois de plus remportée par l’inévitable « cumulative Internet Explorer 10-071 ».

Java 6 update 22ferme, de son côté, 29 CVE officiellement reconnues par Oracle. C’est, avec Flash et le lecteur Acrobat, l’un des vecteurs d’attaque les plus prisés par les auteurs d’exploits et d’infections. La mise à jour est donc obligatoire… et parfois même la désinstallation conseillée, surtout si cet « add-in » n’est pas utilisé. Ajoutons qu’il est parfois difficile de chasser d’anciennes versions « fossilisées » qui sont autant de vulnérabilités insoupçonnées que seul un inventaire scrupuleux des failles peut mettre en évidence. Les particuliers, TPE et artisans peuvent recourir à certains outils gratuits tels que le Personal Software Inspector de Secunia.

Il fut également colossal, le tout dernier « mardi des rustines » publié par Oracle. La CPU compte cette fois près de 85 failles référencées, affectant le SGBD, les middlewares, les suites E-Business, les applications, le catalogue PeopleSoft Primavera et Sun, les VM… les tables de disponibilité et les listes des correctifs cumulatifs ou uniques sont détaillées au fil du bulletin d’alerte publié pour l’occasion. Quelques spécialistes précisent que certains de ces trous de sécurité cumulent à la fois des risques d’élévation de privilège via une injection SQL, la possibilité de changer le statut d’un job et même d’exécuter à distance un nouveau job. Ces affirmations sont avancées sans preuve ni PoC pour l’instant. Aucune autre publication officielle (Sans ou Cert US) ne vient renforcer le degré d’urgence à observer dans l’application des correctifs.