i on en croit les gens qui suivent, nous aurions eu droit à la plus grosse livraison de patches qui ait jamais été proposée par Microsoft depuis le lancement du Patch Tuesday. Et si on regarde de plus près, c'est effectivement assez impressionnant : 10 bulletins, 31 failles, 15 avec un XI de maximal en exécution distante ou élévation de privilèges. Beau score, pas de doute.
Adobe n'est pas en reste avec pas moins de 13 failles critiques corrigées dans une update pour Acrobat et Adobe Reader. Chez Apple, on se positionne également très bien, avec une grosse palette de correctifs Safari. Autant vous dire que depuis hier, ça diff à mort et ça phosphore sec.
Le batch de correctifs Microsoft est donc lourd. Aucun doute. Il corrige en particulier la fameuse Time Machine WebDAV publiée le mois dernier sur quelques mailing lists ainsi que la faille IE exploitée lors du Pwn2Own.
Mais au-delà de ces highlights médiatiques, il y a à nouveau de quoi faire très mal à ceux qui se prendraient à vouloir retarder l'application de ces correctifs. On y trouve un bon lot d'exécution à distance de code arbitraire, depuis et vers différents niveaux de privilèges. classiquement dans le contexte utilisateur en quand il s'agit d'Internet d'Explorer, comme d'ahbitude, ou d'Active Directory, mais aussi en anonymous pour obtenir un remote root si on s'attaque au gestionnaire d'impression sur Windows 2000...
Ajoutez à cela des failles dans des formats de documents tels que Word, Excel et Works de Word, et des élévations de privilèges locales en ttaquant les RPC ou le noyau, vous imaginez fort bien les résultats que ça pourait donner. Rajoutez à cela les quelques patches qui viennent de tomber pour des failles PDF dont la plupart étaient déjà connue[1], et qui permettraient toutes l'exécution distante de code, ça vous fait une surface d'attaque pas négligeable du tout avec des gains plus qu'intéressants.
De quoi motiver pas mal de monde et voir des exploits fleurir un peu partout, quand ils ne circulaient pas déjà... À vos patches donc...
Que les afficionados de Safari qui pourraient se sentir un peu délaissés se rassurent, Apple a pensé à eux en leur concoctant un joli lot de mises à jour sous MacOs comme sous Windows. Une cinquantaine de failles corrigées au programme, avec des impacts variés, mais tout de même une bonne vingtaine qui permettent d'exécuter du code. Les Unixiens noteront avec grand plaisir qu'Adobe ne s'est pas senti obligé de penser à eux cette fois-ci et qu'ils devront normalement patienter jusqu'à la semaine prochaine pour pouvoir mettre à jour leur système. Je sais que je me répète, mais ce n'est qu'une raison de plus de considérer les alternatives... Libres...
Et si vous avez un peu temps à perdre, je pouvez lire ce bulletin publié par Core sur une des failles de MS09-019. La timeline est intéressante, surtout vers la fin...
Sinon, demain, je sévis avec le père Ruff à l'occasion d'un séminaire Aristote dont le thème est la sécurité distribuée. J'y causerais de dépérimétrisation, comme au SSTIC l'an passé, mais avec une présentation que j'espère un peu plus complète et mieux organisée. Nico traitera pour sa part de l'échec de la virtualisation.
Comme le fait très justement remarquer Imad en commentaire, ceux qui veulent pourront apparemment suivre les interventions en direct à l'aide d'un client AccessGrid disponible pour Windows, OSX, Linux et FreeBSD. Mais c'est quand même vachement mieux en vrai :)
Notes
[1] Comme d'habitude ironiseront les plus taquins...
Jeu de briques
Snake
Pacman
Bubble