[ad_1]

Adobe et Microsoft chacun a publié des mises à jour aujourd’hui pour remédier aux faiblesses de sécurité critiques de son logiciel. Le lot de correctifs de décembre de Microsoft est relativement léger, corrigeant plus de trois douzaines de vulnérabilités dans les fenêtres et applications connexes. Adobe a publié des correctifs de sécurité pour son Acrobate et Lecteur PDF produits, et a un patch pour encore une autre faille zero-day dans Lecteur Flash qui est déjà exploité à l’état sauvage.

Au moins neuf des bogues des correctifs Microsoft corrigent des failles que l’entreprise juge « critiques », ce qui signifie qu’ils peuvent être exploités par des logiciels malveillants ou des malfaisants pour installer des logiciels malveillants avec peu ou pas d’aide de la part des utilisateurs, sauf peut-être pour la navigation. vers un site piraté ou piégé.

Microsoft a corrigé une faille zero-day qui est déjà exploitée (CVE-2018-8611) et permet à un attaquant d’élever ses privilèges sur un système hôte. La faiblesse, qui est présente sur toutes les versions prises en charge de Windows, est étiquetée avec la note « importante » moins sévère par Microsoft, principalement parce qu’elle nécessite qu’un attaquant se connecte d’abord au système.

Selon la société de sécurité Rapide7d’autres vulnérabilités notables ce mois-ci sont en Explorer Internetr (CVE-2018-8631) et Bord (CVE-2018-8624), que Microsoft considère comme les plus susceptibles d’être exploités. De même, CVE-2018-8628 est un défaut dans toutes les versions prises en charge de Power Point qui est également susceptible d’être utilisé par des attaquants.

Cela ne peut généralement pas faire de mal aux utilisateurs de Windows d’attendre un jour ou deux après que Microsoft a publié les mises à jour de sécurité mensuelles avant d’installer les correctifs ; occasionnellement, les correctifs bogués peuvent causer de sérieux maux de tête aux utilisateurs qui les installent avant que tous les défauts ne soient résolus. Aussi, c’est une bonne idée de prendre l’habitude de sauvegarder vos données avant de installation des mises à jour Windows.

Windows 10 aime installer des correctifs en une seule fois et redémarrer votre ordinateur selon son propre calendrier. Microsoft ne permet pas aux utilisateurs de Windows 10 de modifier facilement ce paramètre, mais c’est possible. Pour tous les autres utilisateurs du système d’exploitation Windows, si vous préférez être averti des nouvelles mises à jour lorsqu’elles sont disponibles afin que vous puissiez choisir quand les installer, il existe un paramètre pour cela dans Windows Update.

De son côté, Adobe propose de nouvelles versions d’Adobe Reader et d’Adobe Acrobat qui se connectent des dizaines de failles de sécurité dans les programmes. De plus, la semaine dernière, Adobe a publié un patch d’urgence pour corriger une faille zero-day dans Flash Player que les méchants utilisent désormais dans des attaques actives.

Heureusement, le navigateur Web le plus populaire de loin — Google Chrome – met automatiquement à jour Flash, mais oblige également les utilisateurs à activer explicitement Flash chaque fois qu’ils souhaitent l’utiliser (Microsoft regroupe également Flash avec IE/Edge et le met à jour chaque fois que les systèmes Windows installent des mises à jour mensuelles). D’ici l’été 2019, Google proposera faire en sorte que les utilisateurs de Chrome accèdent à leurs paramètres pour l’activer chaque fois qu’ils veulent l’exécuter.

Firefox force également les utilisateurs avec le module complémentaire Flash installé à cliquer pour lire le contenu Flash ; les instructions pour désactiver ou supprimer Flash de Firefox sont ici. Adobe cessera de prendre en charge Flash à la fin de 2020.

Comme toujours, si vous rencontrez des problèmes lors de l’installation de l’un de ces correctifs ce mois-ci, n’hésitez pas à laisser un commentaire à ce sujet ci-dessous ; il y a de fortes chances que d’autres lecteurs aient vécu la même chose et peuvent même donner ici quelques conseils utiles.

Lecture complémentaire :

Demandez le résumé de Woody.

Rédaction de Ghacks le Patch Tuesday de décembre 2018.

L’avis de Qualys.

Webinaire Ivanti Patch Tuesday, 11 h HE, 12 décembre.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *