[ad_1]

Microsoft Corp. a publié aujourd’hui trois lots de mises à jour corrigeant au moins 11 vulnérabilités de sécurité dans son logiciel, principalement des failles dans Microsoft Office des produits. Mais la société n’a pas publié de mise à jour aujourd’hui pour remédier à un défaut critique intégré à toutes les versions du Internet Explorer Navigateur Web qui est maintenant exploité par au moins une boîte à outils de piratage informatique commune et automatisée.

Deux des mises à jour corrigent des bogues Office, dont une qui est limitée aux anciennes versions de Power Point et Visionneuse PowerPoint. Seulement une des correctifs d’aujourd’hui ont obtenu une note « critique », la plus sérieuse de Microsoft. Mais les experts avertissent que cette vulnérabilité critique d’Office est susceptible d’être utilisée dans des attaques ciblées par e-mail contre Microsoft Outlook utilisateurs.

« L’un des aspects les plus dangereux de cette vulnérabilité est qu’un utilisateur n’a pas besoin d’ouvrir un e-mail malveillant pour être infecté », a déclaré Josué Talbotresponsable du renseignement de sécurité pour Réponse de sécurité de Symantec. « Il suffit que le contenu de l’e-mail apparaisse dans le volet de lecture d’Outlook. Si un utilisateur met en surbrillance un e-mail malveillant pour le prévisualiser dans le volet de lecture, sa machine est immédiatement infectée. Il en va de même si un utilisateur ouvre Outlook et qu’un e-mail malveillant est le dernier reçu dans sa boîte de réception ; cet e-mail apparaîtra dans le volet de lecture par défaut et l’ordinateur sera infecté.

Microsoft n’a pas publier une mise à jour pour corriger une faille zero-day dans Internet Explorer que les malfaiteurs exploitent pour s’introduire dans les ordinateurs Windows. La semaine dernière, le géant du logiciel a averti que les escrocs exploitaient la faille dans les attaques ciblées et qu’il n’avait aucune intention de publier un correctif pour la faille de sécurité en dehors de son processus de correction mensuel normal (le deuxième mardi de chaque mois – aujourd’hui – est Patch Mardi).

Depuis cet avis, l’exploit IE a été groupé dans le pack Eleonore Exploit, un kit de logiciels criminels commerciaux puissant et largement utilisé qui permet aux attaquants de transformer facilement des sites Web légitimes en plates-formes d’installation de logiciels malveillants lorsque les visiteurs naviguent sur les sites avec des PC vulnérables.

Si vous avez installé Office, prenez un moment pour visiter Mise à jour Microsoft pour arranger les choses. Si vous utilisez IE, effectuez une mise à niveau vers IE8 — qui fournit des protections supplémentaires contre cette attaque zero-day — ou envisagez de mettre en œuvre le Outil de réparation que Microsoft a publié pour aider à atténuer la menace de la vulnérabilité.

Un résumé des bulletins d’aujourd’hui est disponible ici.

Mise à jour, 19 h 03 HE : Ajout d’informations à la fin de cet article sur l’outil Microsoft FixIt.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *