Patch Tuesday, épisode 2 : Publication des bulletins de sécurité
Deuxième mardi du mois, Patch Tuesday, 19h. Les bulletins de sécurité viennent d'être publiés : 11 bulletins ce mois-ci, dont 4 critiques, 6 importants et 1 modéré.
| Bulletin | Description | Gravité |
|---|---|---|
| MS08-056 | Une vulnérabilité dans Microsoft Office pourrait permettre la divulgation d'informations (957699) | Modéré |
| MS08-057 | Des vulnérabilités dans Microsoft Excel pourraient permettre l'exécution de code à distance (956416) | Critique |
| MS08-058 | Mise à jour de sécurité cumulative pour Internet Explorer (956390) | Critique |
| MS08-059 | Une vulnérabilité dans le service RPC de Host Integration Server pourrait permettre l'exécution de code à distance (956695) | Critique |
| MS08-060 | Une vulnérabilité dans Active Directory pourrait permettre l'exécution de code à distance (957280) | Critique |
| MS08-061 | Des vulnérabilités dans le noyau Windows pourraient permettre une élévation de privilèges (954211) | Important |
| MS08-062 | Une vulnérabilité dans le service d'impression Internet de Windows pourrait permettre l'exécution de code à distance (953155) | Important |
| MS08-063 | Une vulnérabilité dans SMB pourrait permettre l’exécution de code à distance (957095) | Important |
| MS08-064 | Une vulnérabilité dans la manipulation du descripteur d'adresses virtuelles pourrait permettre une élévation de privilèges (956841) | Important |
| MS08-065 | Une vulnérabilité dans Message Queuing pourrait permettre l'exécution de code à distance (951071) | Important |
| MS08-066 | Une vulnérabilité dans le Pilote de fonction connexe Microsoft pourrait permettre une élévation de privilèges (956803) | Important |
Intéressons-nous particulièrement à la page de synthèse en français, disponible ici :
https://www.microsoft.com/france/technet/security/bulletin/ms08-oct.mspx
Tout d'abord la page de synthèse est le moyen idéal de constater très rapidement par quels bulletins sont concernés les systèmes à patcher. Par exemple, dans la partie Logiciels concernés et adresses de téléchargement, Composants et systèmes d'exploitation Windows, on constate que Windows Vista SP1 est concerné par MS08-058 (critique), MS08-061, MS08-062, MS08-063, et MS08-064. Cela aidera l'analyse et la détermination du niveau d'urgence de chaque mise à jour pour chaque type de système. L'agent AutoUpdate des clients se chargera alors automatiquement de sélectionner, parmi les mises à jour aprouvées sur WSUS, celles qui s'appliquent.
Comme annoncé au Black Hat cet été, ce mois-ci est la première fois que la page de synthèse contient l'indice d'exploitabilité (exploitability index, ou xi) de chaque vulnérabilité. Les explications sur ce nouvel indice sont disponibles à cette adresse : Microsoft Exploitability Index (ici en français). Trois niveau d'exploitabilité sont possibles :
- Possibilité de code d’exploitation fonctionnel
- Possibilité de code d’exploitation peu fonctionnel
- Faible possibilité de code d’exploitation fonctionnel
La page de synthèse contient par ailleurs des notes intéressantes concernant WSUS :
- Les modifications du contenu Windows pour WSUS sont consultables dans l'article de la base de connaissances :
Description of Software Update Services and Windows Server Update Services changes in content for 2008 - Pour les mises à jour concernant les produits autres que Windows :
New, Revised, and Rereleased Updates for Microsoft Products Other Than Microsoft Windows
Dans le cas de la maquette, je vais laisser faire le processus automatique :
- Vers minuit, le serveur WSUS effectue sa synchronisation. Les règles d'approbation automatiques sont les suivantes :
- Règle par défaut : approuve automatiquement les mises à jour critiques et les mises à jour de sécurité, pour tous les ordinateurs.
- Règle ajoutée : approuve automatiquement les mises à jour de définitions et les ensembles de mises à jour.
- Toutes les heures, les clients font une détection en se connectant au serveur WSUS.
- Vers 3h00, les clients installent les mises à jour qui leurs sont destinées et redémarrent automatiquement.
Nous verrons donc demain matin comment s'est déroulé ce processus automatique.
Patchez-vous bien !