Parlez de Patch Tuesday sous stéroïdes ! Adobe, Microsoft et WordPress ont tous publié des mises à jour de sécurité pour leurs produits hier. En outre, le fournisseur de sécurité Point de basculement a publié des avis détaillant 21 vulnérabilités non corrigées dans les produits fabriqués par Californie, CEM, HP, Novell et OCS.
Le bundle de Microsoft comprend une douzaine de mises à jour corrigeant au moins 22 failles de sécurité dans son les fenêtres système d’exploitation et autres logiciels. Cinq des vulnérabilités ont obtenu une note «critique», la plus grave de Redmond. Six des failles de Windows corrigées dans la version d’aujourd’hui sont publiques depuis un certain temps, bien que les experts en sécurité de Symantec disent qu’ils ne sont conscients que de l’un des défauts activement exploités dans la nature – un bogue dans le chemin Internet Explorer gère les feuilles de style en cascade. Les mises à jour sont disponibles via Windows Update ou Mise à jour automatique.
Microsoft a également publié une mise à jour qui modifie le comportement par défaut de Windows lorsque les utilisateurs insèrent un périphérique de stockage amovible, tel qu’une clé USB ou une clé USB. Cette mise à jour désactive efficacement «l’exécution automatique», une fonctionnalité de Windows qui a été un vecteur majeur de logiciels malveillants au fil des ans. Microsoft a publié cette même mise à jour en février 2009, mais il l’a proposée en tant que correctif facultatif. La seule chose différente à propos de la mise à jour cette fois-ci est qu’elle est proposée automatiquement aux utilisateurs qui corrigent via Windows Update ou la mise à jour automatique.
Mise à jour, 18 février, 11 h 56 HE : Comme F-Secure notes dans un article de blog utileMicrosoft a encore une fois échoué à désactiver l’exécution automatique, car cette mise à jour n’est pas proposée par défaut, comme Microsoft l’avait précédemment indiqué.
Histoire originale :
Adobe a publié une mise à jour pour son logiciel Acrobat et PDF Reader gratuit qui corrige au moins 29 problèmes de sécurité avec ces produits. Adobe exhorte les utilisateurs de Adobe Reader X (10.0) et versions antérieures pour Windows et Macintosh pour mettre à jour Adobe Reader X (10.0.1), disponible dès maintenant. Adobe indique qu’une mise à jour pour corriger ces failles dans les installations UNIX de ses produits devrait être disponible d’ici la semaine du 28 février 2011.
Les administrateurs de sites Web publiant avec WordPress doivent savoir que WordPress a publié une mise à jour — version 3.0.5 qui bouche une poignée de failles de sécurité. Il s’agit d’une mise à jour relativement mineure – il ne semble pas y avoir de trous béants – mais n’oubliez pas de sauvegarder votre installation et votre base de données avant de procéder à la mise à jour, juste pour être sûr.
Suivi de changements à sa politique de divulgation déclaréele point de bascule a commencé publier les détails d’un certain nombre de failles dans les applications tierces. Toutes les vulnérabilités Tipping Point détaillées dans la version de ce mois-ci impliquent des applications couramment trouvées dans les environnements informatiques d’entreprise. Vers la fin de 2010, la société a annoncé qu’elle modifiait sa politique de divulgation pour allumer un feu sous les fournisseurs qui pourraient autrement traîner les pieds dans la correction d’importantes failles de sécurité.
De la société Article d’août 2010: « Dans un effort pour contraindre les fournisseurs à travailler avec nous pour résoudre ces problèmes plus rapidement, le ZDI annonce un délai de 6 mois prenant effet le 08/04/10 », a écrit la société. « Cela s’applique à toutes les vulnérabilités futures soumises via notre programme ainsi qu’à tous les rapports actuellement en suspens. Cela signifie que le premier rapport de vulnérabilité, si nécessaire, sera publié le 02/04/11. À la fin du délai, si un fournisseur ne répond pas ou est incapable de fournir une déclaration raisonnable expliquant pourquoi la vulnérabilité n’est pas corrigée, le ZDI publiera un avis limité comprenant des mesures d’atténuation dans le but de permettre à la communauté défensive de protéger l’utilisateur. Nous pensons qu’en agissant ainsi, le fournisseur comprendra la responsabilité qu’il a envers ses clients et réagira de manière appropriée.
Comme toujours, veuillez publier une note dans la section des commentaires si vous rencontrez des problèmes lors de l’application de l’une de ces mises à jour.
.
[ad_1]
Parlez de Patch Tuesday sous stéroïdes ! Adobe, Microsoft et WordPress ont tous publié des mises à jour de sécurité pour leurs produits hier. En outre, le fournisseur de sécurité Point de basculement a publié des avis détaillant 21 vulnérabilités non corrigées dans les produits fabriqués par Californie, CEM, HP, Novell et OCS.
Le bundle de Microsoft comprend une douzaine de mises à jour corrigeant au moins 22 failles de sécurité dans son les fenêtres système d’exploitation et autres logiciels. Cinq des vulnérabilités ont obtenu une note «critique», la plus grave de Redmond. Six des failles de Windows corrigées dans la version d’aujourd’hui sont publiques depuis un certain temps, bien que les experts en sécurité de Symantec disent qu’ils ne sont conscients que de l’un des défauts activement exploités dans la nature – un bogue dans le chemin Internet Explorer gère les feuilles de style en cascade. Les mises à jour sont disponibles via Windows Update ou Mise à jour automatique.
Microsoft a également publié une mise à jour qui modifie le comportement par défaut de Windows lorsque les utilisateurs insèrent un périphérique de stockage amovible, tel qu’une clé USB ou une clé USB. Cette mise à jour désactive efficacement «l’exécution automatique», une fonctionnalité de Windows qui a été un vecteur majeur de logiciels malveillants au fil des ans. Microsoft a publié cette même mise à jour en février 2009, mais il l’a proposée en tant que correctif facultatif. La seule chose différente à propos de la mise à jour cette fois-ci est qu’elle est proposée automatiquement aux utilisateurs qui corrigent via Windows Update ou la mise à jour automatique.
Mise à jour, 18 février, 11 h 56 HE : Comme F-Secure notes dans un article de blog utileMicrosoft a encore une fois échoué à désactiver l’exécution automatique, car cette mise à jour n’est pas proposée par défaut, comme Microsoft l’avait précédemment indiqué.
Histoire originale :
Adobe a publié une mise à jour pour son logiciel Acrobat et PDF Reader gratuit qui corrige au moins 29 problèmes de sécurité avec ces produits. Adobe exhorte les utilisateurs de Adobe Reader X (10.0) et versions antérieures pour Windows et Macintosh pour mettre à jour Adobe Reader X (10.0.1), disponible dès maintenant. Adobe indique qu’une mise à jour pour corriger ces failles dans les installations UNIX de ses produits devrait être disponible d’ici la semaine du 28 février 2011.
Les administrateurs de sites Web publiant avec WordPress doivent savoir que WordPress a publié une mise à jour — version 3.0.5 qui bouche une poignée de failles de sécurité. Il s’agit d’une mise à jour relativement mineure – il ne semble pas y avoir de trous béants – mais n’oubliez pas de sauvegarder votre installation et votre base de données avant de procéder à la mise à jour, juste pour être sûr.
Suivi de changements à sa politique de divulgation déclaréele point de bascule a commencé publier les détails d’un certain nombre de failles dans les applications tierces. Toutes les vulnérabilités Tipping Point détaillées dans la version de ce mois-ci impliquent des applications couramment trouvées dans les environnements informatiques d’entreprise. Vers la fin de 2010, la société a annoncé qu’elle modifiait sa politique de divulgation pour allumer un feu sous les fournisseurs qui pourraient autrement traîner les pieds dans la correction d’importantes failles de sécurité.
De la société Article d’août 2010: « Dans un effort pour contraindre les fournisseurs à travailler avec nous pour résoudre ces problèmes plus rapidement, le ZDI annonce un délai de 6 mois prenant effet le 08/04/10 », a écrit la société. « Cela s’applique à toutes les vulnérabilités futures soumises via notre programme ainsi qu’à tous les rapports actuellement en suspens. Cela signifie que le premier rapport de vulnérabilité, si nécessaire, sera publié le 02/04/11. À la fin du délai, si un fournisseur ne répond pas ou est incapable de fournir une déclaration raisonnable expliquant pourquoi la vulnérabilité n’est pas corrigée, le ZDI publiera un avis limité comprenant des mesures d’atténuation dans le but de permettre à la communauté défensive de protéger l’utilisateur. Nous pensons qu’en agissant ainsi, le fournisseur comprendra la responsabilité qu’il a envers ses clients et réagira de manière appropriée.
Comme toujours, veuillez publier une note dans la section des commentaires si vous rencontrez des problèmes lors de l’application de l’une de ces mises à jour.
.