C'est à cette période du mois que Microsoft publie son correctif mardi visant à corriger les vulnérabilités. Le correctif du mois dernier, mardi, posait des problèmes aux utilisateurs car ils causaient toujours des bugs, étant «à moitié cuits». Il s’agit du huitième correctif mardi de l’année et vient avec huit nouveaux bulletins de sécurité (une coïncidence?), Dont trois seulement ont été classés comme «critiques» et cinq comme «importants».

Les huit communiqués de sécurité publiés par Microsoft corrigent 23 vulnérabilités de Windows, Internet Explorer et Exchange. Selon les recommandations de Microsoft, les correctifs les plus importants sont MS13-059 (Internet Explorer) et MS13-060 (Windows XP et Server 2003). Après avoir appliqué ces correctifs de première priorité, vous devez appliquer des correctifs à tous les autres logiciels Microsoft que vous utilisez pour vous assurer que vous disposez d'une sécurité de premier ordre.

23 vulnérabilités trouvées dans Patch Tuesday

Le bulletin de sécurité MS13-059 est une mise à jour de sécurité importante pour Internet Explorer qui couvre 11 vulnérabilités révélées confidentiellement. Nous ne savons pas si ceux-ci ont été largement utilisés ou s'ils ont été lourdement exploités par des pirates.

Les vulnérabilités les plus graves pourraient permettre l'exécution de code à distance si un utilisateur affichait une page Web spécialement conçue à l'aide d'Internet Explorer. Un attaquant qui parviendrait à exploiter la plus grave de ces vulnérabilités pourrait obtenir les mêmes droits que l'utilisateur actuel.

Le bulletin de sécurité MS13-060 corrige une vulnérabilité détectée par le processeur de script Unicode de Microsoft Exchange Server, permettant aux pirates de rendre le rendu des polices en tant que vecteur d'attaque. Le directeur technique de Qualys, Wolfgang Kandek, a expliqué:

Les polices sont dessinées au niveau du noyau, donc si vous pouvez en quelque sorte influencer le dessin des polices et le dépasser. Cela donnerait à un attaquant le contrôle de l'ordinateur de la victime.

Amol Sarwate, directeur de Qualys Vulnerability Labs:

C'est un vecteur d'attaque très alléchant. Tout ce qu'un attaquant devrait faire est de diriger la victime vers un document, un courrier électronique ou une page Web malveillante pour exploiter cette vulnérabilité.

Outre ce qui précède, voici quelques autres faits saillants et «goodies» tirés du Patch de ce mois-ci, ainsi que la description du reste des bulletins de sécurité:

• MS13-061 - Bibliothèques Oracle de vulnérabilité «Outside In»
• MS13-062 - vulnérabilité affectant le code de traitement RPC dans toutes les versions de Windows
• MS13-063 - contournement des vulnérabilités de corruption du noyau ASLR (Address Space Layout Randomization) et 3 afin de permettre l'élévation de privilèges
• MS13-064 - vulnérabilité liée à un seul déni de service dans le pilote Windows Server 2012 NAT
• MS13-065 - Vulnérabilité par déni de service unique dans la pile IPv6 sous toutes les versions de Windows, à l'exception de XP et Server 2003
• MS13-066 - Vulnérabilité de divulgation d'informations dans les services AD FS (Active Directory Federation Services) dans toutes les versions Intel de Windows Server autres que Server Core.

En outre, Microsoft a également mis à jour Windows 8 et RT 'pour améliorer les fonctionnalités de protection dans Windows Defender'.