Microsoft et Adobe chacun a publié aujourd’hui des mises à jour de sécurité pour ses produits. Le lot de correctifs de juillet de Microsoft comprend 14 mises à jour pour corriger plus de 50 failles de sécurité dans les fenêtres et logiciels associés. Par ailleurs, Adobe a publié une mise à jour pour son Lecteur Flash plugin de navigateur, ainsi qu’un ensemble de correctifs monstre pour Adobe Reader/Acrobat.
Selon la société de sécurité Qualystous les correctifs « critiques » de cette série de mises à jour, sauf deux, s’appliquent aux vulnérabilités des navigateurs de Microsoft : Internet Explorer et Bord. Les correctifs critiques corrigent les failles logicielles qui peuvent être exploitées à distance par des logiciels malveillants ou des personnes malveillantes avec peu ou pas d’aide de la part de l’utilisateur, à l’exception peut-être de la visite d’un site Web ou de l’ouverture d’un lien piégé.
Microsoft a également corrigé des vulnérabilités dangereuses dans son .NET Framework (une plate-forme de développement Windows requise par de nombreux programmes tiers et couramment présente sur la plupart des versions de Windows), ainsi que Microsoft Office. Avec ces deux faiblesses, un attaquant pourrait inciter une victime à ouvrir un e-mail contenant un document Office spécialement conçu qui charge du code malveillant, explique Allan Liskaanalyste du renseignement sur les menaces chez Avenir enregistré.
L’une des fonctionnalités les plus intéressantes de Windows 10 est que le système d’exploitation décide par défaut de lui-même quand installer les mises à jour, en fermant très souvent les programmes ouverts et en redémarrant votre PC au milieu de la nuit, sauf si vous modifiez les valeurs par défaut.
Il n’est pas rare que Redmond envoie des mises à jour qui finissent par causer des problèmes de stabilité pour certains utilisateurs, et cela ne fait pas de mal d’attendre un jour ou deux avant de voir si des problèmes majeurs sont signalés avec les nouvelles mises à jour avant de les installer. Microsoft ne facilite pas la tâche Windows 10 utilisateurs de modifier ce paramètre, mais c’est possible. Pour tous les autres utilisateurs du système d’exploitation Windows, si vous préférez être averti des nouvelles mises à jour lorsqu’elles sont disponibles afin que vous puissiez choisir quand les installer, il existe un paramètre pour cela dans Windows Update.
C’est une bonne idée de prendre l’habitude de sauvegarder votre ordinateur avant d’appliquer les mises à jour mensuelles de Microsoft. Windows dispose d’outils intégrés qui peuvent aider à récupérer des correctifs défectueux, mais la restauration du système sur une image de sauvegarde prise juste avant l’installation des mises à jour est souvent beaucoup moins compliquée et une tranquillité d’esprit supplémentaire pendant que vous êtes assis là à prier pour que la machine redémarrer avec succès après le patch.
Comme d’habitude lors du Patch Tuesday de Microsoft, Adobe a publié une mise à jour à son plug-in de navigateur Flash Player. La dernière mise à jour apporte Flash à version 30.0.0.134, et corrige au moins deux failles de sécurité dans le programme. Le pack de correctifs de Microsoft inclut également la mise à jour Flash.
Adobe affirme que la mise à jour Flash corrige les failles de sécurité «critiques», ce qui signifie qu’elles pourraient être exploitées par des logiciels malveillants ou des malfaiteurs pour prendre un contrôle complet et à distance sur les systèmes vulnérables. Mon conseil standard est pour les lecteurs de jeter Flash sur le trottoir, car c’est un programme bogué qui est une cible favorite permanente des fournisseurs de logiciels malveillants.
Pour les lecteurs qui ne veulent toujours pas couper le cordon Flash, il existe des demi-mesures qui fonctionnent presque aussi bien. Heureusement, désactiver Flash dans Chrome est assez simple. Collez « chrome://settings/content » dans une barre de navigateur Chrome, puis sélectionnez « Flash » dans la liste des éléments. Par défaut, il doit être défini sur « Demander d’abord » avant d’exécuter Flash, bien que les utilisateurs puissent également désactiver complètement Flash ici ou mettre sur liste blanche et sur liste noire des sites spécifiques.
Par défaut, MozillaFirefox sur les ordinateurs Windows avec Flash installé, exécute Flash dans un « mode protégé», qui invite l’utilisateur à décider s’il souhaite activer le plug-in avant que le contenu Flash ne s’exécute sur un site Web.
Une autre alternative, peut-être moins élégante, au gros junking Flash consiste à le garder installé dans un navigateur que vous n’utilisez pas normalement, puis à n’utiliser ce navigateur que sur les sites qui nécessitent Flash.
Si tu utilises Adobe Reader ou Acrobate pour gérer les documents PDF, vous voudrez probablement mettre à jour ces produits prochainement : Adobe mises à jour publiées pour les deux aujourd’hui que corrige plus de 100 vulnérabilités de sécurité dans les titres de logiciels.
Certaines personnes ne savent peut-être pas qu’il existe d’autres lecteurs PDF gratuits qui ne sont pas aussi gonflés que ceux d’Adobe. Que ces lecteurs alternatifs soient plus sûrs est une autre question ; ils semblent certainement être mis à jour moins fréquemment, mais cela peut avoir quelque chose à voir avec le fait qu’ils incluent beaucoup moins de fonctionnalités et probablement moins de surface d’attaque globale.
Je ne me souviens pas de la dernière fois où j’ai installé Adobe Reader sur tout ce que je possède. Mon lecteur PDF préféré pour Windows est SumatraPDF, qui est relativement léger et très rapide. Malheureusement, peu importe le nombre de fois que vous changez Sumatra en lecteur PDF par défaut sur Windows 10, le système d’exploitation continue d’ouvrir par défaut les fichiers PDF dans Microsoft Edge.
Pour un aperçu détaillé des vulnérabilités individuelles corrigées par Microsoft aujourd’hui, consultez le Centre de tempête Internet SANSqui indexe les correctifs par gravité, la probabilité que chaque vulnérabilité soit exploitée à court terme et si des failles spécifiques ont été divulguées publiquement avant la publication du correctif d’aujourd’hui.
Selon SANS, au moins trois des défauts — CVE-2018-8278, CVE-2018-8313et CVE-2018-8314 – ont déjà été divulgués publiquement, ce qui signifie que les attaquants ont peut-être eu une longueur d’avance sur la façon d’exploiter ces failles à des fins criminelles.
Comme toujours, si vous rencontrez des problèmes lors de l’installation ou du téléchargement de ces mises à jour, n’hésitez pas à laisser un commentaire. Si les publications passées de Patch Tuesday sont un indicateur, vous pouvez même trouver des réponses ou des solutions utiles d’autres lecteurs rencontrant les mêmes problèmes.