Patch Tuesday est à nouveau à nos portes : Adobe a publié aujourd’hui des mises à jour pour Lecteur Flash et AIR, corrigeant la même vulnérabilité critique dans les deux produits. MicrosoftL’ensemble de correctifs de cinq mises à jour corrige 23 vulnérabilités dans les fenêtres, Internet Exploreret Bureauy compris un bogue qui est déjà activement exploité.
La majorité des vulnérabilités corrigées dans le lot de correctifs de juin de Microsoft – 19 d’entre elles – sont corrigées dans une mise à jour cumulative pour Internet Explorer (MS13-047). L’autre solution sur laquelle Microsoft a attiré une attention particulière est MS13-051qui corrige une faille dans Office qui « pourrait permettre l’exécution de code à distance si un utilisateur ouvre un document Office spécialement conçu… ou prévisualise ou ouvre un message électronique spécialement conçu dans Outlook tout en utilisant Microsoft Word comme lecteur de courrier électronique ».
Cette faille Office, présente dans les dernières versions de Bureau 2003 et Microsoft Office pour Mac 2011, est déjà exploité dans des attaques ciblées, a déclaré Microsoft. Selon la société consultatifcette vulnérabilité a été signalée par Google. Ces attaques correspondent au profil des précédents incidents 0-day, qui utilisent des leurres ciblés par e-mail et des vulnérabilités jusque-là inconnues pour pénétrer des cibles de grande valeur.
« Lorsque Google rencontre des failles qui exploitent les ordinateurs des utilisateurs, même lorsque les failles se trouvent dans les logiciels d’autres sociétés, nous prenons des mesures énergiques pour atténuer ces attaques », a déclaré un porte-parole de Google en réponse à une demande de commentaire. « Sur la base de l’exploit et de la manière dont il a été utilisé par les attaquants, nous croyons fermement que les attaques sont associées à une organisation d’État-nation. »
Les mises à jour Flash et AIR d’Adobe corrigent également un bogue critique cela a été signalé par l’équipe de sécurité de Google, bien qu’Adobe affirme ne pas être au courant d’exploits ou d’attaques dans la nature contre l’adresse de vulnérabilité dans sa mise à jour. La dernière version de Flash est 11.7.700.224 pour Windows et 11.7.700.225 pour MacOS X. Ce lien vous dira quelle version de Flash votre navigateur a installée. IE10 et Chrome devraient mettre à jour automatiquement leurs versions de Flash. Si votre version de Chrome n’est pas encore mis à jour vers 11.7.700.225vous devrez peut-être simplement redémarrer le navigateur.
Les versions les plus récentes de Flash sont disponibles sur le Centre de téléchargement Adobe, mais méfiez-vous des modules complémentaires potentiellement indésirables, comme McAfee Security Scan). Pour éviter cela, décochez la case pré-cochée avant le téléchargement, ou récupérez votre téléchargement Flash spécifique au système d’exploitation à partir de ici. Les utilisateurs de Windows qui naviguent sur le Web avec autre chose qu’Internet Explorer devront appliquer ce correctif deux fois, une fois avec IE et une autre fois en utilisant le navigateur alternatif (Firefox, Opérapar exemple).
En outre, Adode AIR (requis par certaines applications comme Pandora Desktop, par exemple) a été mis à jour pour v.3.7.0.2090 pour Windows et Android, et 3.7.0.2100 pour Mac OS X. Adobe AIR recherche les mises à jour disponibles et vous invite à les installer chaque fois que vous lancez une application qui utilise AIR ; dans tous les cas, le lien de téléchargement est ici. Consultez le tableau ci-dessous pour connaître les numéros de version mis à jour de votre système d’exploitation.
Mise à jour, 20 h 05 HE : Ajout d’un commentaire de Google.
Mise à jour, 12 juin, 14 h 10 HE : Microsoft a modifié son article de blog pour indiquer que le correctif IE couvre 19 vulnérabilités, au lieu de 18. La copie ci-dessus a également été modifiée pour refléter cela.