Technologies

Microsoft corrige plus de 40 failles dans IE, Windows, Office, Edge…

Avec le colmatage de plus de 40 failles, le Patch Tuesday est plutôt chargé. Les utilisateurs de Windows sont bien évidemment priés d’installer ces mises à jour en raison de la criticité de certains correctifs concernant Windows, Internet Explorer, Edge et Office.

Comme chaque mois, c’est à l’occasion du second mardi du mois que Microsoft a publié les correctifs composants son habituel Patch Tuesday. Pour ce mois, ce sont 16 bulletins de sécurité couvrant plus de 40 vulnérabilités qui ont été publiés. Six de ces bulletins sont classés critiques, ce qui est la preuve de la criticité de certaines mises à jour.

Les entreprises utilisant un serveur DNS impliquant Windows Server 2012 et 2012 R2 doivent prioritairement installer le correctif couvert par le bulletin MS16-071. Il corrige une faille critique pouvant être exploitée à distance. « L’impact de cette vulnérabilité est extrêmement préoccupant pour un service aussi essentiel que le DNS », souligne Wolfgang Kandek, CTO de l’éditeur de sécurité Qualys. Il souligne que « les entreprises qui exécutent leur serveur DNS sur le même ordinateur que leur serveur Active Directory doivent être doublement conscientes du danger de cette vulnérabilité ».

Pour éviter qu’une personne malveillante exploite la faille référencée CVE-2016-0025 en envoyant simplement un fichier RTF pour qu’il soit ouvert dans Word, il faut installer le correctif critique MS16-070 concernant Office. Wolfgang Kandek concède que la visionneuse est un vecteur d’attaque sensible : « RTF peut être utilisé pour attaquer par le biais de la visionneuse d’Outlook, la faille peut être exploitée avec un simple e-mail, sans interaction de l’utilisateur ».

Comme lors de pratiquement tous les Patch Tuesday, un bulletin concerne Internet Explorer. Désormais, le navigateur Microsoft Edge est également concerné. Les correctifs MS16-063 pour Internet Explorer, MS16-068 pour Edge et MS16-069 pour JavaScript pour Windows Vista sont cumulatifs. Leur classification est critique, car le navigateur peut être exploité pour exécuter du code malveillant à distance simplement en visitant des sites compromis.

Les autres bulletins sont classés importants et sont donc moins critiques. Wolfgang Kandek pointe tout de même du doigt le MS16-076 qui colmate une faille pouvant être exploitée à distance dans Netlogon. Il met aussi en évidence le MS16-079 qui corrige une vulnérabilité dans Exchange et le MS16-075 qui résout un problème d’élévation de privilège dans un des composants de SMB Server.

Avec plus de 160 bulletins de sécurité au cours de ces six derniers mois, Microsoft est véritablement en mode critique au niveau des mises à jour proposées pour ses produits. Il s’agit d’un record sur la dernière décennie.

Emilie Dubois

Emilie Dubois, une fille dans l'informatique était mal vue à l'époque de mes études. C'est pour cette raison que l'on m'a cantonné à des rôles secondaires lors des travaux de groupe, notamment celui de centralisateur des informations. Ce rôle central, au final crucial, m'a plu. C'est comme cela que je suis devenue chef de projet. Plus tard, cette attirance pour l'information m'a poussé à suivre des cours de journalisme. Comme j'avais la propension de centraliser l'actualité technologique, un ami m'a dit un jour : «Emilie, tu peux le faire ». C'est comme cela que je me suis retrouvée embarquée dans l'aventure de linformatique.org. Vu mon boulot, ce sont surtout les nouvelles technologies qui m'intéressent le plus.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

Bouton retour en haut de la page
Linformatique

Adblock détecté

S'il vous plaît envisager de nous soutenir en désactivant votre bloqueur de publicité