Adobe a poussé aujourd’hui une autre mise à jour pour sceller près de trois douzaines de failles de sécurité dans son Lecteur Flash Logiciel. Microsoft a également publié 14 lots de correctifs, y compris un grand nombre de correctifs pour les ordinateurs exécutant son nouveau Windows 10 système opérateur. À ne pas manquer lors du Patch Tuesday, OracleLe responsable de la sécurité de a lancé une sorte de grenade à main conversationnelle dans la communauté de la recherche en sécurité, qui a répondu en nature et a incité Oracle à reculer.
Le dernier correctif d’Adobe pour Flash (il en a publié plus d’une douzaine cette année seulement) corrige au moins 34 vulnérabilités de sécurité distinctes dans Flash et Adobe AIR. Heureusement, Adobe a déclaré cette fois-ci qu’il n’était pas au courant de pirates malveillants exploitant activement l’une des failles corrigées dans cette version.
Adobe recommande aux utilisateurs d’Adobe Flash Player sur Windows et Macintosh de mettre à jour Adobe Flash Player 18.0.0.232. Adobe Flash Player installé avec Google Chrome sera automatiquement mis à jour vers la dernière version de Google Chrome, qui inclura Adobe Flash Player 18.0.0.232 sous Windows et Macintosh, et la version 18.0.0.233 pour Linux et Chrome OS.
Cependant, je recommanderais que si vous utilisez Flash, vous devriez sérieusement envisager de le supprimer, ou au moins de le bloquer jusqu’à ce que vous en ayez besoin. La désactivation de Flash dans Chrome est assez simple et peut être facilement inversée : sur une installation Windows, Mac, Linux ou Chrome OS de Chrome, tapez « chrome: plugins » dans la barre d’adresse, et sur la page Plug-ins, recherchez le » Liste Flash : pour désactiver Flash, cliquez sur le lien de désactivation (pour le réactiver, cliquez sur « activer »). Les utilisateurs de Windows peuvent supprimer Flash du panneau Ajout/Suppression de programmes, ou utiliser le programme de désinstallation d’Adobe pour Flash Player.
Si vous craignez de supprimer complètement Flash, envisagez une approche à double navigateur. Autrement dit, débranchez Flash du navigateur que vous utilisez pour la navigation quotidienne et laissez-le branché sur un deuxième navigateur que vous n’utilisez que pour les sites nécessitant Flash.
Si vous décidez de continuer avec Flash et de mettre à jour, les versions les plus récentes de Flash devraient être disponibles sur le Flash page d’accueilmais méfiez-vous des modules complémentaires potentiellement indésirables, tels que Analyse de sécurité McAfee. Pour éviter cela, décochez la case pré-cochée avant le téléchargement, ou récupérez votre téléchargement Flash spécifique au système d’exploitation à partir de ici. Les utilisateurs de Windows qui naviguent sur le Web avec autre chose qu’Internet Explorer peuvent avoir besoin d’appliquer ce correctif deux fois, une fois avec IE et une autre fois avec le navigateur alternatif (Firefox, Opérapar exemple)
MICROSOFT
Microsoft vient peut-être de publier Windows 10 en tant que mise à niveau gratuite vers Windows 7 et 8 clients, mais environ 40% des correctifs publiés aujourd’hui s’appliquent au nouveau système d’exploitation phare, selon un décompte par société de sécurité Qualys. Il y a même une mise à jour pour Microsoft Edge, le navigateur que Microsoft veut remplacer Internet Explorer.
Néanmoins, IE obtient sa propre mise à jour critique (MS15-089), qui corrige au moins 13 failles – dont la plupart peuvent être exploitées à distance sans aucune aide de l’utilisateur, sauf peut-être simplement en visitant un site piraté ou malveillant.
Une autre mise à jour notable corrige des défauts effrayants dans Microsoft Office (MS15-081). Qualys indique qu’il semble que le pire des défauts corrigés dans le correctif Office puisse être déclenché automatiquement, éventuellement via le volet de prévisualisation des e-mails d’Outlook, par exemple.
Selon la société de sécurité Shavlik, il y a deux failles corrigées dans la version d’aujourd’hui de Microsoft qui sont activement exploitées dans la nature : une corrigée dans le correctif Office (CVE-2015-1642) et une autre dans Windows lui-même (CVE-2015-1769) . Plusieurs autres vulnérabilités corrigées aujourd’hui ont été divulguées publiquement avant aujourd’hui, ce qui augmente le risque que nous puissions bientôt voir l’exploitation publique de ces bogues.
Si vous exécutez Windows, prenez le temps de sauvegarder vos données et de mettre à jour votre système. Comme toujours, si vous rencontrez des problèmes à la suite de l’application de l’une de ces mises à jour, veuillez laisser une note sur votre expérience dans la section des commentaires.
ORACLE
J’ai reçu des questions de lecteurs concernant une rumeur de mise à jour logicielle pour Java (Java 8, mise à jour 60) ; Je n’ai aucune idée d’où cela vient, mais cela ne devrait pas être un correctif lié à la sécurité. De manière générale, les mises à jour Java paires ne sont pas liées à la sécurité. Plus important encore, Oracle a décidé de publier des mises à jour de sécurité pour Java sur un cycle de patch trimestrielsauf pour les urgences extrêmes (et je ne suis pas au courant d’un grave problème avec Java en ce moment, à part peut-être l’installation de ce programme massivement bogué et non sécurisé).
Hélas, pour ne pas être en reste dans la folie des vulnérabilités, Oracle Chef de la sécurité Mary Ann Davidson a publié un article de blog provocateur intitulé « Ne pas, juste ne pas » qui a suscité une réponse assez tumultueuse de la part de la communauté de la sécurité aujourd’hui.
Davidson a essentiellement déclaré que les chercheurs en sécurité qui tentent de désosser le code de l’entreprise pour trouver des failles logicielles violent l’accord juridique qu’ils ont reconnu lors de l’installation du logiciel. Elle a également réprimandé les chercheurs pour avoir répandu « un tas de FUD fumant » (alias peur, incertitude et doute).
Oracle a ensuite dépublié le message (il est toujours disponible dans le cache de Google ici), mais pas avant que la diatribe de Davidson ne soit ridiculisé sans fin sur Twitter et interpellé par de nombreuses sociétés de sécurité. Mon préféré jusqu’à présent est venu de l’utilisateur de Twitter petites_donnéesOMS mentionné: « Le CLUF de la ville de Rome stipule que les Wisigoths ne peuvent pas recruter des consultants qui connaissent une porte cachée pour entrer. »
Images publiées par les utilisateurs de Twitter postant sur le hashtag sacrastique #oraclefanfic