Microsoft connait un Patch Tuesday particulièrement conséquent
Les 7 mises à jour proposées par Microsoft constituent un démarrage rapide pour 2012. Les premiers mois de l'année sont traditionnellement faibles en nombre de mises à jour. L'éditeur avait publié deux bulletins en janvier 2011, 2010 et 2008, une en janvier 2009.
Une des sept mises à jour a été étiquetée «critique», le classement le plus élevé des menaces de Microsoft, tandis que les autres ont été marquées « important », second dans le classement, même si certaines des menaces pourraient éventuellement être exploitées par des pirates pour injecter des logiciels malveillants sur les PC. Au total, trois des mises à jour ont été classées comme vecteurs « d'exécution de code à distance», ce qui signifie qu'ils pourraient être utilisés pour pirater un système non patché. La deuxième mise à jour est la plus intéressante car elle est associée pour la première fois au statut « Security Feature Bypass ». Angela Gunn, un porte-parole du Microsoft Security Response explique dans un blog que ce statut s'applique aux méthodes qui faciliteraient l'intrusion d'un pirate ». Elle évoque notamment des éléments vulnérables dans l'UAC (User Account Control), amenant les utilisateurs à installer des logiciels malveillants, malgré la présence dans Windows de deux technologies anti-intrusion DEP et ASLR »
Qui se cache derrière FSB et le patch de BEAST attendu
Dans un email, Paul Harvey, un analyste de la sécurité chez Lumension, soupçonne que derrière cette catégorie se cache « une mise à jour de la technologie SEHOP (Structured Exception Handler Overwrite Protection) pour améliorer la capacité de défense en profondeur dans les applications existantes ». SEHOP est une technologie anti-intrusion qui a été conçue pour bloquer une technique de piratage découverte en 2003 que Microsoft a détaillé sur un post datant de 2009. L'éditeur a ajouté SEHOP dans le SP1 de Windows Vista et il est présent dans Windows 7, Server 2008 et Server 2008 R2. Microsoft souligne que cette défense est désactivée par défaut sur Windows Vista SP1 et 7 pour des raisons de compatibilité. Il est possible que le patch prévu mardi prochain active ce système de défense. La firme de Redmond a déclaré qu'elle publierait plus d'informations sur la mise à jour SBF la semaine prochaine.
Pour Andrew Storm, il ne faut peut-être pas s'attendre à une pérennité de cette catégorie : « je pense qu'ils avaient une méthode qui ne rentrerait dans aucune catégorie et ils ne savaient pas quoi faire avec elle. Plutôt que d'essayer de la pousser dans une catégorie existante, comme l'exécution de code à distance ou une élévation de privilèges, ils ont décidé d'en créer une nouvelle ».
Microsoft a refusé de dire si dans les mises à jour proposées se trouve un correctif lié à l'outil BEAST, capable de contourner le protocole SSL et et TLS. Un patch avait été initialement prévu pour sortir en décembre 2011, mais Microsoft l'avait suspendu après que SAP lui ait signalé des problèmes de compatibilité. Dave Forstrom, directeur du groupe Microsoft Trustworthy Computing, indique que « nous continuons de travailler pour publier une mise à jour dans le cadre de nos agendas traditionnels ». « Cela devrait imminent » souligne Andrew Storm.