[ad_1]

Patch Tuesday est à nouveau à nos portes. Adobe a publié aujourd’hui des correctifs de sécurité pour son Éclat et Onde de choc lecteurs multimédias. Séparément, Microsoft a publié sept ensembles de correctifs corrigeant au moins 34 vulnérabilités dans Microsoft Windows et d’autres logiciels. Au moins une des failles de Windows est déjà exploitée dans des attaques actives.

crackedwinSix des sept correctifs Microsoft publiés aujourd’hui ont obtenu la cote « critique » la plus grave de l’entreprise, ce qui signifie que les correctifs corrigent les failles de sécurité qui pourraient être exploitées par des logiciels malveillants ou des malfaiteurs sans l’aide des utilisateurs de PC, sauf pour visiter un site piraté ou ouvrir un site spécialement conçu. document.

Microsoft et les experts en sécurité attirent une attention particulière sur MS13-053qui corrige au moins huit défauts dans l’implémentation de Windows de Fichiers de polices TrueType. Ces vulnérabilités TrueType critiques existent sur presque toutes les versions prises en charge de Windows, y compris XP, Vue, Windows 7 et Windows 8, et peuvent être exploités pour obtenir un contrôle total sur un système Windows vulnérable, simplement en demandant à l’utilisateur de visiter une page Web contenant du contenu TrueType malveillant. Pour aggraver les choses, Microsoft indique qu’un composant de cette vulnérabilité (CVE-2013-3660) est déjà exploitée à l’état sauvage.

Il y a autre chose d’intéressant à propos de ces failles TrueType : Ross Barrettdirecteur principal de l’ingénierie de la sécurité chez Rapide7, note que pour la toute première fois, Microsoft traite une seule vulnérabilité TrueType (CVE-2013-3129) dans trois avis différents (MS13-052, MS13-053 et MS13-054). « En divisant cela, Microsoft répond directement à une plainte concernant les précédents avis » cumulés « où il était difficile de hiérarchiser correctement les multiples correctifs nécessaires pour résoudre le problème, et les correctifs de composants étaient fréquemment manqués », note Barrett.

L’autre gros problème dans le lot de correctifs d’aujourd’hui de Redmond est le Internet Explorer mise à jour (MS13-055), qui est classé critique pour toutes les versions d’IE et corrige 17 vulnérabilités. Pour une ventilation des mises à jour publiées aujourd’hui, consultez cette page récapitulativequi comprend des liens vers tous les correctifs individuels.

De plus, Microsoft a annoncé aujourd’hui un changement de politique lié à la sécurité des applications à vendre ou à télécharger sur la place de marché Microsoft : désormais, toute application présentant un problème de sécurité signalé sera supprimée de la boutique de la place de marché si elle n’est pas corrigée dans les 180 jours suivant Microsoft. confirmant le problème. En savoir plus sur ce changement de politique chez Microsoft Blogue Technet.

ADOBE FLASH & SHOCKWAVE

flash cassé-unLa mise à jour d’Adobe Flash Player corrige au moins trois bogues critiques dans le programme. Des mises à jour sont disponibles pour les versions Windows, Mac, Linux et Android de Flash. Cette mise à jour apporte Flash Player à version 11.8.800.94 sur les systèmes Windows et Mac (les autres utilisateurs de système d’exploitation voient le tableau à la fin de cet article). Pour savoir quelle version de Flash vous avez installée, visitez cette page. Internet Explorer 10 met automatiquement à jour son Flash Player intégré ; Chrome le fait aussi, mais la dernière version corrigée de Flash sur Chrome est 11.8.800.97. Mon installation de Chrome ne semble pas encore avoir été mise à jour vers la dernière version.

Les versions les plus récentes de Flash sont disponibles sur le Centre de téléchargement Adobe, mais méfiez-vous des modules complémentaires potentiellement indésirables, comme McAfee Security Scan). Pour éviter cela, décochez la case pré-cochée avant le téléchargement, ou récupérez votre téléchargement Flash spécifique au système d’exploitation à partir de ici. Les utilisateurs de Windows qui naviguent sur le Web avec autre chose qu’Internet Explorer devront appliquer ce correctif deux fois, une fois avec IE et une autre fois en utilisant le navigateur alternatif (Firefox, Opérapar exemple).

Adobe a également publié une nouvelle version de son Joueur d’onde de choc logiciel qui corrige au moins un défaut critique, apportant Shockwave à v.12.0.3.133 sur les systèmes Windows et Mac. Des mises à jour sont disponibles ici. Shockwave est l’un de ces programmes que j’ai exhorté les lecteurs à supprimer ou à éviter d’installer. Comme Java, il s’agit d’un logiciel puissant et très souvent bogué que de nombreuses personnes ont installé mais dont ils n’ont pas vraiment besoin pour naviguer sur le Web au quotidien. Sécuriser votre système signifie non seulement s’assurer que les choses sont verrouillées, mais supprimer les programmes inutiles, et Shockwave est en haut de ma liste sur ce front.

onde de chocSi vous visitez ce lien et voyez une courte animation, elle devrait vous indiquer quelle version de Shockwave vous avez installée. S’il vous invite à télécharger Shockwave (ou, dans le cas de Google Chrome, à le télécharger pour vous), Shockwave n’est pas installé et n’en a probablement pas besoin. Les utilisateurs de Firefox doivent noter que la présence du plug-in Shockwave Flash répertorié dans la section des modules complémentaires de Firefox indique une installation du plug-in Adobe Flash Player, et non d’Adobe Shockwave.

Adobe n’a publié aucune mise à jour pour AIR aujourd’hui, comme il le fait normalement lorsqu’il publie des mises à jour Flash. La société affirme qu’elle n’est au courant d’aucun exploit ou attaque actif dans la nature qui tire parti des vulnérabilités corrigées dans les versions Flash et Shockwave d’aujourd’hui.

Si toute cette frénésie de correctifs vous fait tourner la tête, envisagez d’utiliser des outils gratuits pour vous aider à automatiser le processus. Fichier Hippopotamec’est Vérificateur de mise à jour fonctionne très bien sur ce front, tout comme Sécuniac’est Inspecteur des logiciels personnels (Je préfère psi 2 supérieur à PSI 3, mais votre kilométrage peut varier). Et, comme toujours, si vous rencontrez des problèmes ou des problèmes intéressants lors de l’application des mises à jour Windows ou de l’un des autres correctifs, veuillez déposer une note dans la section des commentaires ci-dessous.

adobeflash11-8-800-94

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *