Windows 7 au menu du prochain Patch Tuesday de Microsoft

Windows 7 au menu du prochain Patch Tuesday de Microsoft La série de correctifs mensuelle est inhabituellement chargée, et une mystérieuse nouvelle catégorie de vulnérabilités apparait. De nombreuses failles, permettant de prendre le contrôle de Windows, sont corrigées.

Microsoft a annoncé que son Patch Tuesday de mardi prochain contiendra sept bulletins de mises à jour visant à corriger des vulnérabilités dans Windows et les outils de développement Microsoft. Un bulletin couvre en effet Microsoft Developer Tools, les six restant corrigent des failles dans les différentes versions de Windows. Toutes les versions du système d'exploitation Windows, notamment Windows 7 et Windows Server 2008 R2, sont concernés.

Seul un des sept bulletins est classé "critique", le degré de dangerosité le plus élevé, les autres étant considérés comme "importants". Le bulletin critique corrige un problème dans Media Player (permettant l'exécution de code à distance), mais est qualifié d'"important" pour Windows 7 et Windows 2008 R2.

"Même s'ils sont classés comme 'importants', les bulletins 3 et 5 devraient également être considérés comme des bulletins auxquels il faut prêter attention car ces vulnérabilités permettraient à un attaquant de prendre le contrôle à distance des machines via un fichier d'entrée spécialement conçu pour l'un des programmes standard de Windows", prévient Wolfgang Kandek, CTO Qualys.

 

Une description jusqu'à lors inédite pour un Patch Tuesday

Un des bulletins attire l'attention, car il bénéficie d'une description jusqu'à lors inédite pour un Patch Tuesday. Qualifié d'important, il corrige une "vulnérabilité permettant de contourner une fonctionnalité de sécurité". Microsoft n'en a guère dit plus, alors que certains experts spéculent. Certains pensent que les technologies de lutte contre les codes d'exploitation de Microsoft pourraient être concernées, citant SEHOPl'UAC, la DEP ou l'ASLR

Microsoft n'a pas confirmé si cette série de patchs allait bien corriger la vulnérabilité dont tire parti l'exploit Beast et permettant de casser le chiffrement SSL. La rustine était prévue pour le mois dernier, mais SAP ayant rencontré des problèmes de compatibilité avec ses logiciels, Microsoft avait tout simplement enlevé le correctif.

A noter que Microsoft a publié une importante mise à jour le 29 décembre pour corriger quatre vulnérabilités dans le framework. NET