Patch Tuesday mai 2014 : Microsoft met la pression sur les utilisateurs de XP

Un mois après la fin du support de Windows XP, Microsoft a décidé de suspendre la livraison de ses correctifs pour Windows XP même si une exception avait été faite la semaine dernière.
Ce mois-ci, Microsoft publie un second correctif critique pour Internet Explorer, mais sans s’écarter cette fois de sa décision de ne plus prendre en charge les versions qui fonctionnent avec Windows XP. Le dernier patch pour IE est toutefois classé critique, et si les vulnérabilités sont exploitées, des hackers pourraient exécuter à distance du code malveillant sur les ordinateurs concernés. Les correctifs sont disponibles pour les versions 6 à 11 d’Internet Explorer.

La mise à jour contiendra probablement la rustine out-of-band publiée en urgence la semaine dernière pour contrer une faille zero-day ainsi que les vulnérabilités découvertes lors de la compétition de piratage CanSecWest, selon le CTO de Qualys, Wolfgang Kandek. Microsoft avait inclus Windows XP dans ce patch out-of- band, malgré le fait que XP ne soit plus officiellement supporté par l’éditeur. Ce n’est plus le cas avec les patchs attendus demain mardi : Pour la première fois une faille connue affectant Windows XP restera sans réponse.

Internet Explorer reste une cible de choix pour les hackers

Tous ceux qui utilisent encore Windows XP doivent s’attendre à subir un peu plus de pression, selon Ross Barrett, directeur technique chez Rapid7. Les utilisateurs d’autres systèmes d’exploitation qui utilisent aussi IE doivent s’attendre à des correctifs à l’occasion de chaque Patch Tuesday, indique Russ Ernst, directeur produit chez Lumension. « Les hackers continuent de s’attaquer à l’un des navigateurs qui restent parmi les plus populaires, et pour les entreprises qui l’utilisent, il sera nécessaire de le patcher tous les mois, au minimum », indique-t-il.

En plus d’Internet Explorer, Microsoft publiera également des correctifs critiques pour SharePoint 2007, 2010 et 2013 ainsi qu’Office Online. Six autres failles sont classées comme importantes, ce qui signifie qu’elles demandent aux utilisateurs de faire une action telle que cliquer sur un lien afin d’être exploitées. Elles affectent Office, la plupart des versions de Windows et le framework .NET.

Le patch 3 vient contrer une exécution possible de code à distance qui frappe Office ; le bulletin 4 concerne la plupart des versions de Windows. Windows et le framework .NET sont couverts par le correctif 5 qui bloque une élévation de privilège. Les sixième et septième bulletins touchent la plupart des versions de Windows avec une élévation de privilèges et un problème de déni de service. Enfin, le dernier bulletin porte sur une question de détournement de la fonction de sécurité dans Office.

sources: LeMondeInformatique