Adobe et Microsoft chacun a publié mardi des mises à jour de sécurité pour son logiciel. Adobe a colmaté cinq failles de sécurité dans son Lecteur Flash plug-in de navigateur. Microsoft a poussé 17 mises à jour pour corriger au moins 60 vulnérabilités dans Windows et d’autres logiciels, dont deux « jour zéro» des failles que les attaquants exploitaient déjà avant que Microsoft ne publie des correctifs pour les corriger.
Selon la société de sécurité Ivantila première des deux failles zero-day (CVE-2018-8373) est un défaut critique dans Internet Explorer que les attaquants pourraient utiliser pour imposer des logiciels malveillants aux utilisateurs d’IE qui naviguent sur des sites piratés ou piégés. L’autre zero-day est un bogue (CVE-2018-8414) dans le shell Windows 10 qui pourrait permettre à un attaquant d’exécuter le code de son choix.
Microsoft a également corrigé plusieurs variantes des vulnérabilités de mémoire Meltdown/Spectre, collectivement surnommées « Annoncer» par une équipe de chercheurs qui ont découvert et rapporté le Intel-défauts basés sur. Pour plus d’informations sur le fonctionnement de Foreshadow, consultez leur document académique (PDF), et/ou la vidéo ci-dessous. L’analyse de Microsoft est ici.
Un petit bogue astucieux corrigé dans ce lot de correctifs est CVE-2018-8345. Il résout un problème dans la façon dont Windows gère les fichiers de raccourcis ; se terminant par l’extension « .lnk », les fichiers de raccourci sont des composants Windows qui relient (d’où l’extension « lnk ») des icônes faciles à reconnaître à des programmes exécutables spécifiques, et sont généralement placés sur le bureau ou le menu Démarrer de l’utilisateur.
Cette description d’un fichier de raccourci a été reprise textuellement du premier rapport largement lu sur ce qui sera plus tard surnommé le Ver Stuxnet, qui a également utilisé un exploit pour une faiblesse dans la façon dont Windows gérait les fichiers de raccourcis (.lnk). Selon la société de sécurité Qualys, ce correctif doit être prioritaire pour les postes de travail et les serveurs, car l’utilisateur n’a pas besoin de cliquer sur le fichier à exploiter. « Le simple fait de visualiser un fichier LNK malveillant peut exécuter du code en tant qu’utilisateur connecté », a déclaré Qualys. Jim Graham a écrit.
Il n’est pas rare que Redmond envoie des mises à jour qui finissent par causer des problèmes de stabilité pour certains utilisateurs, et cela ne fait pas de mal d’attendre un jour ou deux avant de voir si des problèmes majeurs sont signalés avec les nouvelles mises à jour avant de les installer. Microsoft ne permet pas aux utilisateurs de Windows 10 de modifier facilement ce paramètre, mais c’est possible. Pour tous les autres utilisateurs du système d’exploitation Windows, si vous préférez être averti des nouvelles mises à jour lorsqu’elles sont disponibles afin que vous puissiez choisir quand les installer, il existe un paramètre pour cela dans Windows Update.
C’est une bonne idée de prendre l’habitude de sauvegarder votre ordinateur avant d’appliquer les mises à jour mensuelles de Microsoft. Windows dispose d’outils intégrés qui peuvent aider à récupérer des correctifs défectueux, mais la restauration du système sur une image de sauvegarde prise juste avant l’installation des mises à jour est souvent beaucoup moins compliquée et une tranquillité d’esprit supplémentaire pendant que vous êtes assis là à prier pour que la machine redémarrer avec succès après le patch.
La mise à jour Flash d’Adobe amène le programme à v.30.0.0.154 Pour les fenêtres, macOS, Chrome et Linux. La plupart des lecteurs ici savent ce que je pense de Flash, qui est un problème de sécurité majeur et une cible fréquente d’attaques basées sur les navigateurs. Les mises à jour de Microsoft incluent ces correctifs Flash pour IE, et Google Chrome a déjà poussé une mise à jour pour corriger ces cinq failles Flash (bien qu’un redémarrage du navigateur puisse être nécessaire).
Mais sérieusement, si vous n’avez pas besoin de Flash, désactivez-le déjà. Chrome est configuré pour demander avant de lire des objets Flash, mais la désactivation de Flash dans Chrome est assez simple. Collez « chrome://settings/content » dans une barre de navigateur Chrome, puis sélectionnez « Flash » dans la liste des éléments. Par défaut, il doit être défini sur « Demander d’abord » avant d’exécuter Flash, bien que les utilisateurs puissent également désactiver complètement Flash ici ou mettre sur liste blanche et sur liste noire des sites spécifiques.
Par défaut, Mozilla Firefox sur les ordinateurs Windows sur lesquels Flash est installé exécute Flash en « mode protégé », ce qui invite l’utilisateur à décider s’il souhaite activer le plug-in avant que le contenu Flash ne s’exécute sur un site Web.
Adobe a également publié mises à jour de sécurité pour ses produits PDF Reader et Acrobat.
Comme toujours, veuillez laisser une note dans les commentaires ci-dessous si vous rencontrez des problèmes lors de l’installation de l’une de ces mises à jour.