Adobe et Microsoft aujourd’hui, chacun a publié des mises à jour critiques pour combler les failles de sécurité dans ses produits. Le lot de correctifs de Microsoft corrige au moins 11 failles dans les fenêtres et le logiciel Windows. La mise à jour d’Adobe s’attaque à quatre vulnérabilités présentes dans les versions actuelles de Adobe Acrobat et Lecteur.
Sept des 11 bogues corrigés par Microsoft avec la version d’aujourd’hui ont obtenu sa note « critique » la plus sérieuse, que Microsoft attribue aux failles dont il pense que les attaquants ou les logiciels malveillants pourraient exploiter pour pénétrer dans les systèmes sans l’aide des utilisateurs. Dans son résumé du bulletin de sécurité d’avril 2012, Microsoft dit qu’il s’attend à ce que les malfaiteurs développent rapidement des exploits fiables capables d’exploiter au moins quatre des vulnérabilités.
Parmi ceux-ci se trouve une faiblesse intéressante (MS12-024) de la manière dont Windows gère les fichiers exécutables portables (PE) signés. Selon Symanteccette faille est intéressante car elle permet aux attaquants de modifier les fichiers PE signés sans être détectés.
« De plus, l’attaquant n’a pas à se soucier du contrôle de la mémoire ; une fois que l’utilisateur exécute le contenu, l’appareil a été infecté », a écrit John Harrisson, chef de produit de groupe pour Symantec Security Response. « L’attaque la plus courante sera probablement un scénario dans lequel un site propose un téléchargement gratuit d’un programme spécifique qui semble être légitimement signé. »
Wolfgang Kandekdirecteur de la technologie pour une société de gestion des vulnérabilités Qualyss’inquiète particulièrement MS12-027, car la faiblesse s’étend à une gamme inhabituellement large de produits Microsoft. Microsoft est d’accord, appelant ce correctif le la plus haute priorité mise à jour de sécurité ce mois-ci.
« Ce qui distingue ce bulletin, c’est que Microsoft est au courant des attaques à son encontre et qu’il affecte une gamme inhabituellement large de produits Microsoft, y compris Office 2003 à 2010 sous Windows, SQL Server 2000 à 2008 R2, BizTalk Server 2002, Commerce Server 2002 à 2009 R2, Visual FoxPro 8 et Visual Basic 6 Runtime », a déclaré Kandek. « Les attaquants ont intégré l’exploit pour la vulnérabilité sous-jacente (CVE-2012-0158) dans un document RTF et inciter la cible à ouvrir le fichier, le plus souvent en le joignant à un e-mail. Un autre vecteur possible est la navigation sur le Web, mais le composant peut potentiellement être attaqué via l’une des applications mentionnées.
D’autres correctifs notables de Microsoft ce mois-ci incluent un .RAPPORTER mise à jour et un correctif pour au moins cinq Internet Explorer défauts. Des correctifs sont disponibles pour toutes les versions prises en charge de Windows et disponibles via Windows Update.
Correction des mises à jour d’Adobe problèmes critiques dans Acrobat et Reader sur toutes les plates-formes prises en charge, y compris les fenêtres, Mac OS Xet Linux. Les utilisateurs sous Windows et Mac peuvent utiliser le mécanisme de mise à jour intégré de chaque produit. La dernière version corrigée d’Acrobat et de Reader est version 10.1.3 pour les systèmes Windows et Mac. La configuration par défaut est configurée pour exécuter des vérifications automatiques des mises à jour selon un calendrier régulier, mais les vérifications des mises à jour peuvent être activées manuellement en choisissant Aide > Vérifier les mises à jour. Les utilisateurs de Reader qui préfèrent des liens directs vers la dernière version peuvent les trouver en cliquant sur le système d’exploitation approprié, Windows, Mac ou Linux (v. 9.5.1).
Comme toujours, si vous rencontrez des problèmes pour installer ou appliquer ces mises à jour, veuillez laisser une note sur votre expérience dans les commentaires ci-dessous.