Adobe, Microsoft et Oracle aujourd’hui, chacun a publié des mises à jour de sécurité pour corriger de graves vulnérabilités dans ses produits. Adobe a publié des correctifs pour AIR, Acrobate, Éclat et Lecteurtandis que Microsoft a proposé des correctifs pour consolider au moins une demi-douzaine de failles de sécurité dans les fenêtres et Bureau. Oracle a publié une mise à jour pour Java qui corrige au moins trois douzaines de failles de sécurité dans le programme largement utilisé.
Toutes les vulnérabilités corrigées par Microsoft ce mois-ci ont obtenu des notes « importantes » ; pas tout à fait aussi graves que celles qualifiées de «critiques», qui impliquent des failles si dangereuses qu’elles peuvent être exploitées par des malfaiteurs ou des logiciels malveillants pour s’introduire dans des systèmes sans interaction de l’utilisateur. Néanmoins, les défauts marqués « importants » peuvent être assez dangereux, en particulier lorsqu’ils sont utilisés en tandem avec d’autres techniques d’attaque.
A titre d’illustration, ce mois-ci MS14-002 Le correctif corrige une faille zero-day importante qui a été exploitée pour la première fois dans des attaques ciblées à la fin de l’année dernière. Dans une version de cette attaque, assez bien documentée dans cette écriture fascinante mais quelque peu technique à partir de Trustwave Spiderlabs, les attaquants ont utilisé cette faille Windows en combinaison avec un bogue dans Adobe Reader. Selon Trustwave, les méchants de cette attaque ont inclus la faille Windows comme moyen de contourner le bac à sable de sécurité d’Adobe Reader, une technologie conçue pour garantir que tout code malveillant intégré dans les documents ne s’exécute qu’avec des privilèges limités (c’est-à-dire qu’il n’est pas autorisé à invoquer d’autres programmes ou modifier les paramètres du système de base).
En bref, ne tardez pas à appliquer les correctifs de ce mois-ci de Microsoft. Ils sont disponibles via Windows Update ou Automatic Update. De plus, Microsoft a saisi cette opportunité pour rappeler aux utilisateurs de Windows XP que l’entreprise ne soutiendra plus Windows XP après avril 2014 (je suppose que je devrai également retirer le graphique Windows cassé ci-dessus). Le manque de mises à jour de sécurité continues pour XP signifie qu’il deviendra probablement une cible encore plus importante pour les attaquants ; Si vous comptez sur XP, veuillez envisager de passer très prochainement à un système d’exploitation plus récent. Qui sait, ça pourrait être une bonne excuse pour essayer Linux, qui a tendance à être très léger sur les ressources et idéal pour le matériel plus ancien. Si vous envisagez de changer depuis un certain temps, essayez quelques distributions en utilisant l’une des dizaines de versions de Linux disponibles. via CD en direct.
En parlant d’Adobe Reader, la société a publié aujourd’hui des mises à jour pour corriger au moins trois vulnérabilités dans le programme largement utilisé. Les utilisateurs d’Adobe Reader XI (11.0.05) pour Windows et Mac doit être mis à jour vers Adobe Reader XI (11.0.06). Remarque obligatoire : Là sont autre choix.
Adobe a également publié des correctifs pour ses produits Flash Player et AIR. La mise à jour Flash amène le lecteur multimédia à la version 12.0.0.38 sous Windows et Mac OS X. Ce lien vous dira quelle version de Flash votre navigateur a installée. IE10 et Chrome devraient mettre à jour automatiquement leurs versions de Flash. Si votre version de Chrome (sur Windows, Mac ou Linux) n’est pas encore mise à jour vers v. 12.0.0.41vous devrez peut-être simplement fermer et redémarrer le navigateur.
Les versions les plus récentes de Flash sont disponibles sur le Centre de téléchargement Adobe, mais méfiez-vous des modules complémentaires potentiellement indésirables, comme McAfee Security Scan). Pour éviter cela, décochez la case pré-cochée avant le téléchargement, ou récupérez votre téléchargement Flash spécifique au système d’exploitation à partir de ici. Les utilisateurs de Windows qui naviguent sur le Web avec autre chose qu’Internet Explorer devront appliquer ce correctif deux fois, une fois avec IE et une autre fois en utilisant le navigateur alternatif (Firefox, Opérapar exemple).
En outre, Adode AIR (requis par certaines applications comme Pandora Desktop, par exemple) a été mis à jour pour v. 4.0.0.1390 pour les appareils Windows, Mac et Android. Adobe AIR recherche et vous invite à installer toutes les mises à jour disponibles chaque fois que vous lancez une application qui utilise AIR ; dans tous les cas, le lien de téléchargement est ici. Consultez le tableau ci-dessous pour connaître les numéros de version mis à jour de votre système d’exploitation.
Par ailleurs, Oracle a publié sa mise à jour de correctif critique, qui comprend certains 36 correctifs de sécurité pour Java. Cette mise à jour amène Java à Java 7 mise à jour 51, et est disponible via le programme de mise à jour Java intégré ou à partir des téléchargements Java.
Si vous avez vraiment besoin de Java et que vous l’utilisez pour des sites Web ou des applications spécifiques, prenez quelques minutes pour mettre à jour ce logiciel. Les mises à jour sont disponibles sur Java.com ou via le Panneau de configuration Java. Gardez à l’esprit que la mise à jour via le panneau de configuration sélectionnera automatiquement l’installation de la barre d’outils Ask, alors désélectionnez-la si vous ne voulez pas le crapware ajouté.
Sinon, envisagez sérieusement de supprimer complètement Java. J’ai longtemps exhorté les utilisateurs finaux à junk Java à moins qu’ils n’en aient une utilisation spécifique (ce conseil ne s’adapte pas aux entreprises, qui ont souvent des applications héritées et personnalisées qui reposent sur Java). Ce programme puissant et largement installé est truffé de failles de sécurité et constitue une cible de choix pour les auteurs de logiciels malveillants et les malfaiteurs.
Si vous avez une utilisation ou un besoin affirmatif de Java, débranchez-le du navigateur à moins que et jusqu’à ce que vous soyez sur un site qui l’exige (ou au moins profitez du click-to-play). Java 7 permet aux utilisateurs désactiver le contenu Java dans les navigateurs Web à travers le Panneau de configuration Java. Vous pouvez également envisager une approche à double navigateur, en débranchant Java du navigateur que vous utilisez pour la navigation quotidienne et en le laissant branché sur un deuxième navigateur que vous n’utilisez que pour les sites nécessitant Java.
Il existe plusieurs façons de savoir si Java est installé et quelle version peut être en cours d’exécution. Les utilisateurs de Windows peuvent cliquer sur Démarrer, puis sur Exécuter, puis taper « cmd » sans les guillemets. À l’invite de commande, tapez « java -version » (encore une fois, sans guillemets). Les utilisateurs peuvent également visiter Java.com et cliquer sur « Ai-je Java? » lien sur la page d’accueil. Les mises à jour doivent également être disponibles via le panneau de configuration Java ou depuis Java.com.
Mise à jour, 17h33 HE : Inclus des informations sur les correctifs Java.