Microsoft a publié aujourd’hui quinze mises à jour logicielles pour corriger plus de 70 vulnérabilités de sécurité uniques dans diverses saveurs de son les fenêtres systèmes d’exploitation et logiciels pris en charge, dont au moins deux jour zéro Bugs. Ces patchs s’appliquent à les fenêtres, Internet Explorer (IE) et Bord navigateurs, Bureau, Point de partage et Échanger. Séparément, Adobe a publié des mises à jour de sécurité pour Lecteur Acrobat et Lecteur Flash.
Selon la société de sécurité Rapide 7deux des vulnérabilités — CVE-2019-0803 et CVE-2019-0859 – sont déjà exploités à l’état sauvage. Ils peuvent entraîner une élévation non autorisée des privilèges et affecter toutes les versions prises en charge de Windows.
« Un attaquant doit déjà avoir un accès local à un système affecté pour les utiliser afin d’obtenir des capacités d’exécution de code au niveau du noyau », a déclaré un chercheur de Rapid7. Greg Wiseman observé. « Cependant, l’une des 32 vulnérabilités d’exécution de code à distance (RCE) corrigées aujourd’hui pourrait potentiellement être utilisée avec elles dans une chaîne d’exploitation pour obtenir le contrôle total d’un système. »
Mis à part ces failles d’escalade de privilèges zero-day, a déclaré Wiseman, il s’agit d’un Patch Tuesday assez standard.
« Ce qui signifie bien sûr toujours qu’il y a des bogues qui doivent être corrigés au plus vite, comme les huit vulnérabilités classées comme critiques dans le moteur de script utilisé par les navigateurs Microsoft, et CVE-2019-0822 (un RCE dans Microsoft Office qui peut être exploité en convainquant un utilisateur d’ouvrir un fichier malveillant).
Le Patch Tuesday d’Adobe comprend des mises à jour de sécurité pour son Logiciel Flash Player et AIRainsi que Adobe Reader et Acrobat.
Les mises à jour Flash sont installées avec d’autres correctifs mensuels Windows pour les consommateurs et installées automatiquement par Google Chrome, mais les utilisateurs peuvent avoir besoin de redémarrer le système d’exploitation (dans le cas d’IE/Edge) ou le navigateur (dans Chrome) pour le nouveau mises à jour pour prendre effet.
Les actions d’Adobe sonnent également le glas de Adobe Shockwave Playerqui a enfin atteint sa fin de vie.
Cela signifie qu’il n’y a plus de mises à jour de sécurité pour Shockwave, qui a toujours été un vilain petit-fils de Flash. C’est-à-dire que Shockwave n’a jamais vraiment attiré l’attention de Flash sur la sécurité, mais a néanmoins été tout aussi vulnérable et souvent en retard de plusieurs mois ou années sur Flash en termes de mises à jour.
Chris Goettldirecteur de la gestion des produits et de la sécurité pour une entreprise de sécurité Ivanti, mentionné Les utilisateurs de Windows doivent maintenant retirer toutes les installations Shockwave existantes de leur environnement.
« Il y a 7 vulnérabilités qui seront vulnérables pour la majorité des installations de Shockwave encore existantes », a déclaré Goettl. « Vous pouvez parier qu’un exploit est imminent là-bas. »
Conseil standard : rester à jour sur les correctifs Windows est une bonne chose. Mettre à jour uniquement après avoir sauvegardé vos données et fichiers importants, c’est encore mieux. Une bonne sauvegarde signifie que vous ne vous arracherez pas les cheveux si un correctif de bogue impair cause des problèmes de démarrage du système.
Windows 10 aime installer des correctifs en une seule fois et redémarrer votre ordinateur selon son propre calendrier. Microsoft ne permet pas aux utilisateurs de Windows 10 de modifier facilement ce paramètre, mais c’est possible. Pour tous les autres utilisateurs du système d’exploitation Windows, si vous préférez être averti des nouvelles mises à jour lorsqu’elles sont disponibles afin que vous puissiez choisir quand les installer, il existe un paramètre pour cela dans Windows Update.
Comme toujours, si vous rencontrez des problèmes lors de l’installation de l’un de ces correctifs ce mois-ci, n’hésitez pas à laisser un commentaire à ce sujet ci-dessous ; il y a de fortes chances que d’autres lecteurs aient vécu la même chose et peuvent même donner ici quelques conseils utiles.
Lecture complémentaire :
Priorités du mardi du correctif du SANS Internet Storm Center.