Un patch day intéressant
Par Sylvain SARMEJEANNE, mercredi 9 septembre 2009 à 16:44 :: General :: #335 :: rss
Microsoft vient de livrer ses correctifs pour le mois de septembre. Huit vulnérabilités ont été corrigées, toutes qualifiées de critiques. La 
0-day affectant IIS n'est pas corrigée.
MS09-045 : vulnérabilité dans le moteur JScript de Windows (Réf Lexsi 12234)
MS09-046 : vulnérabilité dans le composant ActiveX d'édition DHTML de Windows (Réf Lexsi 12233)
MS09-047 : deux vulnérabilités dans Windows Media (Réf Lexsi 12236)
MS09-048 : trois vulnérabilités dans la pile TCP/IP de Windows (Réf Lexsi 12235). L'une d'elle, permettant de provoquer un déni de service avec très peu de ressources, avait été publiée par Outpost24 fin 2008 et la plupart des éditeurs concernés viennent de publier leurs correctifs de manière concertée. Ce correctif ne sera pas disponible pour Windows 2000 en raison des trop grandes modifications qui seraient nécessaires. Mais plus étonnant, il ne le sera pas non plus pour Windows XP, Microsoft se justifiant par le fait qu'aucun service n'est en écoute distante par défaut sur ce système... Une autre vulnérabilité dans le traitement d'un champ TCP par Vista et 2008 permet potentiellement d'exécuter du code arbitraire à distance. Le type de vulnérabilité est proche de celle découverte hier sur SMBv2.
MS09-049 : vulnérabilité dans le service d'autoconfiguration wifi de Windows (Réf Lexsi 12232). Elle peut être exploitée à distance sans aucune interaction afin d'exécuter du code arbitraire, avec la seule condition que la victime ait activé sa carte wifi ! Cependant, seules les versions Vista et 2008 sont vulnérables.
Comme chaque mois, le MSRT a été mis à jour, supportant désormais Bredolab et Daurso. Le premier est un downloader, installant d'autres malware sur le poste ; le second est de type password stealer et peut être installé par le premier. Il recherche localement les informations de connexion stockées par les logiciels de transfert FTP les plus courants (FileZilla, CuteFTP, etc), ainsi que depuis le Protected Storage de Windows. Cela peut être critique si le poste du webmaster se fait infecter, donnant ainsi l'accès au site web pour par exemple y ajouter une iframe malveillante.