Le deuxième mardi du mois était cette semaine. Toutes les personnes responsables de la protection des ordinateurs Windows savent ce que cela signifie : un nouveau paquet de correctifs de sécurité a été mis en ligne par Microsoft.
Le paquet de correctifs de février incluait des mises à jour de sécurité pour Internet Explorer, Microsoft Edge, Microsoft Windows, Microsoft Office, Adobe Flash Player et d'autres logiciels et visait plus de 50 vulnérabilités de sécurité.
Les correctifs de sécurité les plus graves ont été classés « critiques » par Microsoft. Ceci signifie que l'équipe de sécurité de Microsoft croit que les failles pourraient être exploitées à distance par des pirates malveillants, souvent pour implanter des logiciels malveillants conçus pour détourner des ordinateurs ciblés sans interaction avec l'utilisateur.
L'un des problèmes de sécurité les plus inquiétants auxquels ce paquet de correctifs s'attaque est un bogue de corruption de la mémoire d’Outlook (CVE-2018-0852) qui pourrait permettre à un attaquant de tromper votre ordinateur à distance pour qu'il exécute du code malveillant.
L'attaque peut être déclenchée par l’ouverture d’une pièce jointe piégée, la visite d’une page Web empoisonnée ou simplement en la visualisation d’un message malveillant dans le volet de prévisualisation d'Outlook.
Microsoft décrit comment un pirate pourrait exploiter le défaut ainsi :
L'exploitation de cette vulnérabilité requiert qu'un utilisateur ouvre un fichier spécialement conçu avec une version affectée du logiciel Microsoft Outlook. Dans le cas d’une attaque par courrier électronique, un attaquant pourrait exploiter la vulnérabilité en envoyant le fichier spécialement conçu à l'utilisateur et en convaincant l'utilisateur de l’ouvrir. Dans un scénario d'attaque basé sur le Web, un attaquant pourrait héberger un site Web (ou exploiter un site Web compromis qui accepte ou héberge du contenu fourni par l'utilisateur) qui contient un fichier spécialement conçu pour exploiter la vulnérabilité. Un attaquant n'aurait aucun moyen de forcer les utilisateurs à visiter le site. Au lieu de cela, un attaquant aurait à convaincre les utilisateurs de cliquer sur un lien, généralement par le biais d'une incitation dans un courrier électronique ou un message instantané, puis de les convaincre d'ouvrir le fichier spécialement conçu à cet effet.
Bien qu'il n'y ait pas encore de preuves que des pirates malveillants exploitent cette faiblesse d’Outlook, le fait qu'un ordinateur puisse être compromis via le volet de prévisualisation le rend particulièrement menaçant. Les correctifs devraient donc être prioritaires.
Plusieurs autres failles de sécurité critiques ont été trouvées dans Edge et Internet Explorer, qui pourraient permettre l'exécution de code à distance en visitant simplement une page Web malveillante.
On ne peut aucunement douter que Microsoft désire corriger autant de vulnérabilités que possible avec son ensemble de correctifs mensuels. Néanmoins, au moins une faille de sécurité sérieuse récemment révélée dans un produit Microsoft n'a pas été corrigée cette fois-ci.
En septembre dernier, le chercheur en sécurité Stefan Kanthak a avisé Microsoft d'un défaut dans la façon dont l'application de bureau Skype se met à jour, qui pourrait être exploité pour permettre à un utilisateur non privilégié d'accéder à des droits « système » complets, leur accordant des droits quasi-divin sur l'ordinateur.
Microsoft a confirmé à Kanthak avoir parvenu à reproduire le problème, mais lui a dit qu'il ne serait pas corrigé jusqu'à la publication d’une nouvelle version du logiciel. En effet, vu l’ampleur de la tâche de révision que la résolution de ce problème exigera, ce correctif ne passera pas par une mise à jour de sécurité.
Et il y a possiblement un autre pli dans votre couverture de sécurité.
Le mois dernier Microsoft a averti que certains produits de sécurité étaient incompatibles avec son atténuation contre le défaut de processeur Meltdown. L’entreprise a ajouté qu’en conséquence, leurs utilisateurs ne recevront plus de correctifs Microsoft jusqu'à ce que ces produits certifient qu'ils ne causeront pas de problèmes.
Heureusement, la plupart des principaux produits antivirus sont maintenant conformes, et les clients d'ESET, entre autres, n'ont rien à craindre, car leurs produits de sécurité sont compatibles avec le correctif Microsoft contre la vulnérabilité Meltdown Intel).
Bien sûr, mettre à jour vos systèmes informatiques le plus tôt possible est une bonne idée. Sauvegarder les systèmes essentiels avant d'appliquer les correctifs est conseillé, juste au cas où quelque chose tournerait mal. Et si ce n'est pas pratique, c'est peut-être le moment de s'assurer que ce sera le cas dans l'avenir.