Adobe et Microsoft aujourd’hui, chacun a publié des correctifs pour corriger les failles de sécurité critiques de son logiciel. Le Patch Tuesday de février de Microsoft comprend sept lots de correctifs corrigeant au moins 31 vulnérabilités dans les fenêtres et les logiciels associés. Adobe a publié une mise à jour qui corrige deux bogues critiques dans son Joueur d’onde de choc.
Plus de la moitié des mises à jour publiées par Microsoft aujourd’hui ont obtenu une note «critique» – la plus grave de Microsoft. Cette note est attribuée aux vulnérabilités qui peuvent être exploitées par des logiciels malveillants ou des logiciels malveillants pour prendre un contrôle complet et à distance sur les systèmes vulnérables, sans l’aide des utilisateurs.
Microsoft exhorte les utilisateurs de Windows à appliquer tous les correctifs disponibles, mais pour ceux qui doivent hiérarchiser les correctifs (organisations qui testent généralement les correctifs avant de les déployer à l’échelle de l’entreprise), Redmond accorde une attention particulière à MS14-007une vulnérabilité graphique dans Windows 7/8/8.1 et Windows Server 2007, 2012 et Windows RT.
La mise à jour de sécurité critique cumulative pour toutes les versions de Internet Explorer (MS14-010) corrige deux douzaines de vulnérabilités, dont une qui, selon Microsoft, a déjà été divulguée publiquement. L’autre correctif que Microsoft a spécifiquement appelé – MS14-011 — corrige une vulnérabilité dans VBScript qui pourrait causer des problèmes aux utilisateurs d’IE.
Microsoft encourage également une fois de plus les utilisateurs de Windows qui ne l’ont pas encore fait à envisager d’installer et d’utiliser son Boîte à outils d’expérience d’atténuation améliorée (EMET), un outil gratuit qui peut aider à renforcer considérablement la sécurité des applications tierces qui s’exécutent sur Windows. J’appuierais leur recommandation et j’ai examiné EMET 4.0 ici. La dernière version — 4.1 — est disponible sur ce lien et nécessite Plate-forme .NET Framework 4 de Microsoft.
En parlant de .NET, les mises à jour de ce mois incluent un correctif complet pour le .NET Framework; l’expérience m’a appris à les installer séparément des autres correctifs Windows, puis à redémarrer et à installer toutes les mises à jour .NET. J’ai rencontré des problèmes dans le passé en essayant d’installer des mises à jour .NET parallèlement à de nombreuses autres simultanément, mais votre kilométrage peut varier.
Pour en savoir plus sur les correctifs Microsoft actuels, consultez le blog du Centre de réponse de sécurité Microsoftainsi que Le point de vue de Qualys sur les mises à jour.
Par ailleurs, Adobe a publié un patch critique pour son logiciel Shockwave Player, qui corrige deux défauts et apporte Shockwave à v.12.0.9.149 sur les systèmes Mac et Windows. La dernière version est disponible ici.
Si vous visitez ce lien et voyez une courte animation, elle devrait vous indiquer quelle version de Shockwave vous avez installée. S’il vous invite à télécharger Shockwave, cela signifie que Shockwave n’est pas installé et que vous n’en avez probablement pas besoin. Les utilisateurs de Firefox doivent noter que la présence du plug-in « Shockwave Flash » répertorié dans la section des modules complémentaires de Firefox indique une installation du plug-in Adobe Flash Player – et non d’Adobe Shockwave.