Adobe et Microsoft aujourd’hui chacun a publié des mises à jour de sécurité pour corriger les vulnérabilités critiques de son logiciel. Microsoft a poussé 14 correctifs pour résoudre les problèmes dans les fenêtres, Bureau, Internet Explorer et .RAPPORTER, entre autres produits. Par ailleurs, Adobe a publié une mise à jour pour son Lecteur Flash logiciel qui corrige au moins 18 problèmes de sécurité.
Microsoft annoncé 16 bulletins, mais curieusement, deux d’entre eux sont répertoriés comme en attente. En tête de liste des mises à jour critiques de Microsoft se trouve un correctif pour une vulnérabilité zero-day révélée le mois dernier que les pirates ont utilisée dans des attaques de cyberespionnage ciblées. Un autre correctif critique cible 17 faiblesses d’Internet Explorer, y compris une vulnérabilité exploitable à distance dans toutes les versions prises en charge de Windows qui a valu une Note CVSS de 9,3 (ce qui signifie qu’il est très susceptible d’être exploité dans des attaques au volant, et probablement bientôt).
Ce défaut est un bogue rare « ressemblant à une licorne » selon IBM X-Force, qui a découvert et signalé le problème en privé à Microsoft. Dans un article de blog publié aujourd’hui, les chercheurs d’IBM ont décrit comment la vulnérabilité peut être utilisée pour contourner le Mode protégé amélioré sandbox dans IE11, ainsi que l’outil anti-exploitation EMET de Microsoft que Microsoft propose gratuitement.
« Dans ce cas, le code bogué a au moins 19 ans et est exploitable à distance depuis 18 ans », écrit un chercheur d’IBM. Robert Freeman. « En regardant le code de version d’origine de Windows 95, le problème est présent. À certains égards, cette vulnérabilité est visible depuis longtemps, malgré la découverte et la correction de nombreux autres bogues dans la même bibliothèque Windows (OleAut32).
Freeman a déclaré que même si les utilisateurs d’Internet Explorer non corrigés sont les plus exposés à ce bogue, la vulnérabilité pourrait également être exploitée via les fichiers Microsoft Office. « Les autres vecteurs d’attaque avec lesquels cette vulnérabilité pourrait fonctionner sont Microsoft Office avec des macros de script, par exemple dans des documents Excel », a déclaré Freeman à BreachTrace. « La plupart des versions d’Office (depuis environ 2003) ont des macros désactivées par défaut, de sorte que l’utilisateur devrait les activer (ce qui peut être un clic OUI assez stupide en haut de l’écran). Ou si un utilisateur utilise une version suffisamment ancienne d’Office, les macros seront activées par défaut.
Selon Shavlik, les deux correctifs en attente, MS14-068 et MS14-075, sont tous deux répertoriés sur la page de résumé du bulletin comme « date de sortie à déterminer », ce qui est apparemment une anomalie que nous n’avons jamais vue auparavant. « En règle générale, un patch retiré est entièrement supprimé de la liste », a écrit Chris Goettl, chef de produit chez Shavlik. « Cela pourrait signifier que cela pourrait encore arriver ce mois-ci, mais pas aujourd’hui. Ces deux correctifs étaient probablement un système d’exploitation et le correctif Exchange basé sur la liste de notification avancée », c’est-à-dire qu’au moins un administrateur de produit majeur de moins devra se préoccuper de ce correctif. mardibien que la date à déterminer puisse venir à tout moment.
Comme je l’ai noté dans les articles précédents, les quelques fois où j’ai rencontré des problèmes après l’application des mises à jour Microsoft ont presque toutes inclus un correctif pour la plate-forme .NET largement installée de Microsoft. Si vous avez installé .NET, c’est probablement une bonne idée d’installer celui-ci séparément après avoir appliqué les autres mises à jour et redémarré.
La mise à jour d’Adobe corrige 18 failles de sécurité dans Flash Player et Adobe AIR. Des mises à jour sont disponibles pour les versions Windows, Mac et Linux de Flash. Adobe indique que les utilisateurs d’Adobe Flash Player doivent mettre à jour le programme version 15.0.0.223. Pour voir quelle version de Flash vous avez installée, vérifiez ce lien. IE10/IE11 sur Windows 8.x et Chrome doivent mettre à jour automatiquement leurs versions de Flash.
Les versions les plus récentes de Flash sont disponibles sur le Flash page d’accueil, mais méfiez-vous des modules complémentaires potentiellement indésirables, tels que McAfee Security Scan. Pour éviter cela, décochez la case pré-cochée avant le téléchargement, ou récupérez votre téléchargement Flash spécifique au système d’exploitation à partir de ici.
Les utilisateurs de Windows qui naviguent sur le Web avec autre chose qu’Internet Explorer peuvent avoir besoin d’appliquer ce correctif deux fois, une fois avec IE et une autre fois en utilisant le navigateur alternatif (Firefox, Opera, par exemple). Si Adobe AIR est installé, vous souhaiterez mettre à jour ce programme. AIR est livré avec une fonction de mise à jour automatique qui devrait inviter les utilisateurs à mettre à jour lorsqu’ils démarrent une application qui en a besoin ; la version la plus récente et corrigée est la v. 15.0.0.356 pour Windows, Mac et Android.
