Microsoft a publié aujourd’hui des correctifs logiciels pour combler au moins 129 failles de sécurité dans son les fenêtres systèmes d’exploitation et logiciels pris en charge, selon certains comptes, un nombre record de correctifs en une seule fois pour le géant du logiciel. Aucun des bugs abordés ce mois-ci n’a été exploité ou détaillé jusqu’à aujourd’hui, mais il existe quelques vulnérabilités qui méritent une attention particulière, en particulier pour les entreprises et les employés travaillant à distance.
Juin marque le quatrième mois consécutif que Microsoft a publié des correctifs pour corriger plus de 100 failles de sécurité dans ses produits. Onze des mises à jour traitent des problèmes que Microsoft juge « critiques », ce qui signifie qu’elles pourraient être exploitées par des logiciels malveillants ou des malcontents pour prendre le contrôle complet et à distance des systèmes vulnérables sans l’aide des utilisateurs.
L’une des principales préoccupations parmi la panoplie de correctifs est un trio de vulnérabilités dans la technologie de partage de fichiers Windows (alias Microsoft Server Message Block ou service « SMB »). Peut-être le plus troublant d’entre eux (CVE-2020-1301) est un bogue d’exécution de code à distance dans les fonctionnalités SMB intégrées à Windows 7 et Serveur Windows 2008 systèmes – les deux systèmes d’exploitation que Microsoft a cessé de prendre en charge avec les mises à jour de sécurité en janvier 2020. Un facteur atténuant avec cette faille est qu’un attaquant devrait déjà être authentifié sur le réseau pour l’exploiter, selon les experts en sécurité de Défendable.
Les correctifs SMB suivent de près nouvelles que le code de preuve de concept a été publié cette semaine qui permettrait à quiconque d’exploiter une faille SMB critique corrigée par Microsoft pour Windows 10 systèmes en mars (CVE-2020-0796). Contrairement aux bogues SMB critiques de ce mois-ci, CVE-2020-0796 ne nécessite pas que l’attaquant soit authentifié sur le réseau de la cible. Et avec d’innombrables employés de l’entreprise travaillant désormais à distance, les utilisateurs de Windows 10 qui n’ont pas encore appliqué les mises à jour de mars ou plus tard pourraient être dangereusement exposés en ce moment.
Microsoft Office et Exceller obtenir plusieurs mises à jour ce mois-ci. Deux failles différentes dans Excel (CVE-2020-1225 et CVE-2020-1226) pourrait être utilisé pour réquisitionner à distance un ordinateur exécutant Office simplement en demandant à un utilisateur d’ouvrir un document piégé. Une autre faiblesse (CVE-2020-1229) dans la plupart des versions d’Office peuvent être exploitées pour contourner les fonctions de sécurité d’Office simplement en prévisualisant un document malveillant dans le volet de prévisualisation. Ce défaut impacte également Office pour Macbien que les mises à jour ne soient pas encore disponibles pour cette plate-forme.
Après des mois passés à nous accorder une pause bienvenue dans l’application des correctifs, Adobe a émis une mise à jour pour son Lecteur Flash programme qui résout un problème de sécurité unique, quoique critique. Adobe dit n’avoir connaissance d’aucun exploit actif contre la faille Flash. Heureusement, Chrome et Firefox les deux désactivent maintenant Flash par défaut, et Chrome et IE/EdgNous mettons automatiquement à jour le programme lorsque de nouvelles mises à jour de sécurité sont disponibles. Adobe devrait retirer Flash Player plus tard cette année. Adobe a également publié des mises à jour de sécurité pour son Gestionnaire d’expérience et Produits d’encadrement.
Les utilisateurs de Windows 7 doivent maintenant savoir que même si un bon nombre de failles corrigées ce mois-ci par Microsoft affectent les systèmes Windows 7, ce système d’exploitation n’est plus pris en charge par les mises à jour de sécurité (à moins que vous ne soyez une entreprise tirant parti des programme payant de mises à jour de sécurité étenduesqui est disponible pour les utilisateurs Windows 7 Professionnel et Windows 7 Enterprise).
Avant de mettre à jour avec le lot de correctifs de ce mois-ci, assurez-vous d’avoir sauvegardé votre système et/ou vos fichiers importants. Il n’est pas rare qu’une mise à jour bancale de Windows étouffe son système ou l’empêche de démarrer correctement, et certaines mises à jour ont même su effacer ou corrompre des fichiers. Alors faites-vous une faveur et sauvegardez avant de installer des correctifs. Windows 10 a même quelques outils intégrés pour vous aider à le faire, soit par fichier/dossier, soit en créant une copie complète et amorçable de votre disque dur en une seule fois.
Et si vous souhaitez vous assurer que Windows a été configuré pour suspendre la mise à jour afin de pouvoir sauvegarder vos fichiers et/ou votre système avant que le système d’exploitation ne décide de redémarrer et d’installer les correctifs selon son propre calendrier, consultez ce guide.
Comme toujours, si vous rencontrez des problèmes ou des problèmes lors de l’installation de l’un de ces correctifs ce mois-ci, veuillez envisager de laisser un commentaire à ce sujet ci-dessous ; il y a de fortes chances que d’autres lecteurs aient vécu la même chose et peuvent donner ici quelques conseils utiles.
Lecture complémentaire :
Demandez à Woody et Martin Brinkman sur les correctifs de Patch Tuesday et les pièges potentiels
Liste des correctifs de juin 2020 de l’initiative Zero Day de Trend Micro