Adobe, Microsoft et Oracle chacun a publié des mises à jour aujourd’hui pour combler les failles de sécurité critiques dans leurs produits. Adobe a publié des correctifs pour son Lecteur Flash et Adobe AIR Logiciel. Un correctif d’Oracle corrige au moins 25 failles dans Java. Et Microsoft a poussé des correctifs pour corriger au moins deux douzaines de vulnérabilités dans un certain nombre de composants Windows, y compris Bureau, Internet Explorer et .RAPPORTER. L’une des mises à jour corrige une faille zero-day qui serait déjà exploitée dans des attaques de cyberespionnage actives.
Plus tôt aujourd’hui, Partenaires iSight recherche publiée sur une menace que la société a surnommée « Sandworm » qui exploite l’une des vulnérabilités corrigées aujourd’hui (CVE-2014-4114). iSight a déclaré avoir découvert que des pirates informatiques russes menaient des campagnes de cyberespionnage en utilisant la faille, qui est apparemment présent dans toutes les versions prises en charge de Windows. Le New York Times portait un récit aujourd’hui sur l’ampleur des attaques contre cette faille.
Dans son avis sur la vulnérabilité zero-day, Microsoft a déclaré que le bogue pourrait permettre l’exécution de code à distance si un utilisateur ouvrait un document Microsoft Office malveillant spécialement conçu. Selon iSight, la faille a été utilisée dans des attaques par e-mail ciblées ciblant l’OTAN, des organisations gouvernementales ukrainiennes et occidentales et des entreprises du secteur de l’énergie.
Plus de la moitié des autres vulnérabilités corrigées dans l’adresse du lot de correctifs de ce mois-ci failles dans Internet Explorer. Des détails supplémentaires sur les correctifs Microsoft individuels publiés aujourd’hui sont disponibles sur ce lien.
Par ailleurs, Adobe a publié sa série habituelle de mises à jour pour ses produits Flash Player et AIR. le correctifs combler au moins trois failles de sécurité distinctes dans ces produits. Adobe dit qu’il n’est au courant d’aucune attaque active contre ces vulnérabilités. Des mises à jour sont disponibles pour les versions Windows, Mac et Linux de Flash.
Adobe indique que les utilisateurs du runtime de bureau Adobe Flash Player pour Windows et Macintosh devraient mettre à jour vers Adobe Flash Player 15.0.0.189. Pour voir quelle version de Flash vous avez installée, vérifiez ce lien. IE10/IE11 sur Windows 8.x et Chrome devraient mettre à jour automatiquement leurs versions de Flash, bien que mon installation de Chrome indique qu’il est à jour et qu’il est toujours en cours d’exécution version 15.0.0.152 (sans mises à jour en attente disponibles, et pas encore de mot de Chrome pour savoir quand le correctif pourrait être disponible).
Les versions les plus récentes de Flash sont disponibles sur le Flash page d’accueil, mais méfiez-vous des modules complémentaires potentiellement indésirables, tels que McAfee Security Scan. Pour éviter cela, décochez la case pré-cochée avant le téléchargement, ou récupérez votre téléchargement Flash spécifique au système d’exploitation à partir de ici.
Les utilisateurs de Windows qui naviguent sur le Web avec autre chose qu’Internet Explorer peuvent avoir besoin d’appliquer ce correctif deux fois, une fois avec IE et une autre fois en utilisant le navigateur alternatif (Firefox, Opera, par exemple). Si Adobe AIR est installé, vous souhaiterez mettre à jour ce programme. AIR est livré avec une fonction de mise à jour automatique qui devrait inviter les utilisateurs à mettre à jour lorsqu’ils démarrent une application qui en a besoin ; la version la plus récente et corrigée est la v. 15.0.0.293 pour Windows, Mac et Android.
Enfin, Oracle lance une mise à jour pour son logiciel Java aujourd’hui qui corrige plus de deux douzaines de failles de sécurité dans le logiciel. Oracle affirme que 22 de ces vulnérabilités peuvent être exploitables à distance sans authentification, c’est-à-dire qu’elles peuvent être exploitées sur un réseau sans avoir besoin d’un nom d’utilisateur et d’un mot de passe. Les mises à jour de Java SE 8 sont disponibles ici; la dernière version de Java SE 7 est ici.
Si vous avez vraiment besoin de Java et que vous l’utilisez pour des sites Web ou des applications spécifiques, prenez quelques minutes pour mettre à jour ce logiciel. Les mises à jour sont disponibles sur Java.com ou via le panneau de configuration Java. Je n’ai pas d’installation de Java à portée de main sur la machine que j’utilise pour rédiger ce message, mais gardez à l’esprit que la mise à jour via le panneau de configuration peut sélectionner automatiquement l’installation de logiciels tiers, donc désélectionnez cela si vous ne voulez pas le crapware ajouté.
Sinon, envisagez sérieusement de supprimer complètement Java. J’ai longtemps exhorté les utilisateurs finaux à junk Java à moins qu’ils n’en aient une utilisation spécifique (ce conseil ne s’adapte pas aux entreprises, qui ont souvent des applications héritées et personnalisées qui reposent sur Java). Ce programme puissant et largement installé est truffé de failles de sécurité et constitue une cible de choix pour les auteurs de logiciels malveillants et les malfaiteurs.
Si vous avez une utilisation ou un besoin affirmatif de Java, débranchez-le du navigateur à moins que et jusqu’à ce que vous soyez sur un site qui l’exige (ou au moins profitez du click-to-play). Les dernières versions de Java permettent aux utilisateurs désactiver le contenu Java dans les navigateurs Web à travers le Panneau de configuration Java. Vous pouvez également envisager une approche à double navigateur, en débranchant Java du navigateur que vous utilisez pour la navigation quotidienne et en le laissant branché sur un deuxième navigateur que vous n’utilisez que pour les sites nécessitant Java.
Pour les utilisateurs expérimentés de Java – ou pour ceux qui ont des difficultés à mettre à jour ou à supprimer une ancienne version tenace – je recommande JavaRaqui peut aider à réparer ou à supprimer Java lorsque d’autres méthodes échouent (nécessite le Cadre Microsoft .NETqui a également reçu des mises à jour aujourd’hui de Microsoft).