Adobe et Microsoft aujourd’hui des mises à jour publiées séparément pour corriger les vulnérabilités de sécurité critiques de leurs produits. Adobe a publié des correctifs pour les problèmes de sécurité dans Acrobate, Adobe Reader et son Lecteur Flash brancher. Microsoft a publié sept correctifs corrigeant au moins une douzaine de failles de sécurité dans Windows et d’autres logiciels, bien qu’il n’ait pas publié de correctif officiel pour une faille dangereuse dans son Internet Explorer Navigateur Web que les attaquants exploitent désormais activement.
Deux des correctifs que Microsoft a publiés aujourd’hui ont obtenu une note « critique », ce qui signifie que ces vulnérabilités pourraient être exploitées pour compromettre complètement les systèmes Windows vulnérables sans aucune aide des utilisateurs. Microsoft a attiré une attention particulière sur deux bogues critiques dans ses XML Core Services composant; la société a déclaré qu’il est probable que des logiciels malveillants ou des malfaiteurs trouveront un moyen d’exploiter ces failles dans des attaques actives au cours des 30 prochains jours.
Malheureusement, Microsoft n’a pas proposé de correctif officiel pour une faille Windows critique que les logiciels malveillants et les malfaiteurs exploitent déjà. Fin décembre, Microsoft a reconnu que les attaquants utilisaient une faille de sécurité auparavant non documentée dans les versions 6 à 8 d’Internet Explorer pour s’introduire dans les PC Windows. Microsoft a ensuite publié un outil « FixIt » provisoire pour aider à réduire la vulnérabilité des systèmes concernés, mais les chercheurs la semaine dernière démontré que l’outil FixIt ne bloquait que certaines méthodes d’attaque de la faille, laissant d’autres moyens sans surveillance. Pendant ce temps, une copie de travail de l’exploit a été plié dans Metasploitun outil de test d’intrusion gratuit.
Wolfgang Kandekdirecteur de la technologie dans une société de gestion des vulnérabilités Qualysa déclaré que la vulnérabilité IE zero-day affecte actuellement 90 % de la base d’installation d’IE.
« Microsoft ne fournit pas de correctif aujourd’hui, bien qu’ils aient fourni un correctif pour le problème », a écrit Kandek dans un article de blog. « La vulnérabilité doit être suivie de près, car un grand pourcentage d’entreprises exécutent encore les versions concernées. »
Les utilisateurs qui souhaitent continuer à naviguer sur le Web avec IE doivent effectuer une mise à niveau vers IE9 si possible (IE10 sur Windows 8 n’est pas non plus vulnérable). Utilisateurs toujours connectés Windows XP ne pourra pas mettre à jour vers IE9, mais pourra peut-être dériver une certaine protection de l’outil FixIt et en utilisant Microsoft Outil EMET. Les utilisateurs de XP peuvent cependant être mieux lotis en naviguant avec Firefox ou Chrome avec un certain type de blocage de script et/ou de bac à sable en place. Plus d’informations sur l’utilisation d’EMET et les options de blocage de script sont disponibles dans mes outils pour une amorce de PC plus sûr. Plus de détails sur les mises à jour d’aujourd’hui de Microsoft peuvent être trouvés sur le Blog du Centre de réponse de sécurité Microsoft et dans le résumés des bulletins de sécurité pour chaque patch.
le Correctif Adobe Flash corrige au moins une vulnérabilité critique dans le plugin du lecteur multimédia. Des mises à jour sont disponibles pour toutes les versions prises en charge de Flash, y compris pour les fenêtres, Mac, Linux et Android. Consultez le tableau ci-dessous pour connaître le dernier numéro de version ventilé par système d’exploitation.
Pour savoir si Flash est installé et quelle version vous possédez, visitez ce lien. Adobe exhorte les utilisateurs à récupérer les dernières mises à jour de son Centre de téléchargement Flash Playermais cette option pousse les modules complémentaires indésirables comme McAfee VirusScan. Au lieu de cela, téléchargez la version appropriée pour votre système à partir de Page de distribution de Flash Player d’Adobee (j’ai depuis longtemps cessé d’attendre que la mise à jour automatique de Flash se déclenche). Adobe dit que Flash Player est installé avec Internet Explorer 10 pour Windows 8 et Google Chrome doit être mis à jour automatiquement (Chrome a livré un mise à jour bêta aujourd’hui pour résoudre ce problème dans la version Chrome 24.0.1312.52.
Adobe a également publié une mise à jour pour corriger cette faille dans son AIR Logiciel. La dernière version d’AIR, v.3.5.0.1060, est disponible ici.
Enfin, Adobe a publié des mises à jour qui corrigent au moins 26 problèmes de sécurité dans Adobe Acrobat et Adobe Reader. Adobe a publié des mises à jour de sécurité pour Adobe Reader et Acrobat XI (11.0.0) et les versions antérieures pour les fenêtres et Macintoshet Adobe Reader 9.5.1 et les versions 9.x antérieures pour Linux. Si vous utilisez ces produits, vous voudrez les mettre à jour.
Comme toujours, si vous rencontrez des problèmes pour télécharger ou installer l’une de ces mises à jour, veuillez laisser une note à ce sujet dans les commentaires ci-dessous.