C’est le deuxième mardi du mois, c’est officiellement Patch Tuesday. Mais ce n’est pas seulement Microsoft Windows utilisateurs qui doivent mettre à jour aujourd’hui : Adobe a publié des correctifs pour plusieurs produits, dont un Lecteur Flash bundle qui corrige deux vulnérabilités pour lesquelles le code d’exploitation est disponible en ligne. Séparément, Oracle a publié une mise à jour de correctif critique qui corrige plus de deux douzaines de failles de sécurité dans Java.
ADOBE
Le correctif Flash d’Adobe apporte Flash à version 18.0.0.209 sur les systèmes Windows et Mac. Cette dernière version corrige deux vulnérabilités qui ont été découvertes dans le cadre de la violation de Hacking Team. Les deux failles sont exploitables via du code déjà publié en ligne, donc si vous devez utiliser Flash, veuillez prendre un moment pour mettre à jour ce programme.
Si vous ne savez pas si Flash est installé sur votre navigateur ou quelle version il peut exécuter, accédez à ce lien. Adobe Flash Player installé avec Google Chromeainsi que Internet Explorer au Windows 8.x, devrait automatiquement être mis à jour vers la dernière version. Pour forcer l’installation d’une mise à jour disponible sur Chrome, cliquez sur l’icône triple barre à droite de la barre d’adresse, sélectionnez « À propos de Google » Chrome, cliquez sur le bouton Appliquer la mise à jour et redémarrez le navigateur.
Les versions les plus récentes de Flash doivent être disponibles sur le Flash page d’accueilmais méfiez-vous des modules complémentaires potentiellement indésirables, tels que Analyse de sécurité McAfee. Pour éviter cela, décochez la case pré-cochée avant le téléchargement, ou récupérez votre téléchargement Flash spécifique au système d’exploitation à partir de ici. Les utilisateurs de Windows qui naviguent sur le Web avec autre chose qu’Internet Explorer peuvent avoir besoin d’appliquer ce correctif deux fois, une fois avec IE et une autre fois avec le navigateur alternatif (Firefox, Opérapar exemple)
Veuillez déterminer si vous avez vraiment besoin d’installer Flash. Il s’agit d’un programme puissant qui est massivement exploité par les cybercriminels pour s’introduire dans les systèmes. Le message de lundi comprend plus d’informations sur la façon de supprimer Flash de votre ordinateur, en fonction du système d’exploitation que vous utilisez.
Adobe a également publié des mises à jour de sécurité pour Adobe Acrobat et son Lecteur PDF programmes qui corrigent au moins 46 vulnérabilités dans ces produits. Des liens vers les dernières versions des deux programmes sont disponibles dans le Avis de sécurité Acrobat/Reader.
Enfin, Adobe a publié une mise à jour de sécurité pour son Joueur d’onde de choc logiciel pour Windows et Mac. Il s’agit d’un autre produit Adobe que j’ai longtemps exhorté les gens à désinstaller, en grande partie parce que la plupart des utilisateurs n’ont pas besoin de Shockwave et qu’il est tout aussi bogué que Flash, mais qu’il n’est pas assez mis à jour. Dans tous les cas, des liens vers la dernière version de Shockwave sont disponibles dans le conseil.
MICROSOFT
Avec les 14 kits de correctifs d’aujourd’hui, Microsoft a corrigé des dizaines de vulnérabilités dans Windows et les logiciels associés. UNE correctif cumulatif pour Internet Explorer corrige au moins 28 défauts du navigateur Windows par défaut. Trois de ces failles IE ont été divulguées avant les correctifs d’aujourd’hui, y compris une faille zero-day découverte dans la faille Hacking Team.
La plupart de ces bogues IE sont des vulnérabilités de navigation et d’acquisition, ce qui signifie que les utilisateurs d’IE peuvent infecter leurs systèmes simplement en naviguant sur un site Web piraté ou malveillant.
Une autre mise à jour remarquable corrige au moins huit failles dans différentes versions de Microsoft Office, dont une (CVE-2424) qui est activement exploitée par des attaquants.
Des résumés plus détaillés des correctifs Microsoft publiés aujourd’hui sont disponibles sur le site Web de Microsoft. Résumé du bulletin de sécurité de juillet 2015et au Qualys blocg.
ORACLE
Patch d’Oracle pour Java SE inclut des correctifs pour 25 vulnérabilités de sécurité, y compris une faille qui est déjà activement exploitée pour pénétrer dans les systèmes exécutant Java SE. UNE article de blog par Trend Micro a plus sur la faille Java zero-day, qui a apparemment été utilisée dans des attaques ciblées dans une campagne de cyberespionnage.
La dernière version, Java 8 mise à jour 51est disponible à partir de Java.com. Mais si vous utilisez Java, veuillez prendre un moment pour déterminer si vous avez toujours besoin de ce programme sur votre ordinateur. Java est encore un autre programme dont j’ai longtemps exhorté les utilisateurs à se passer, pour la plupart des mêmes raisons que j’ai exhorté les lecteurs à abandonner Flash et Shockwave : ce programme largement installé et puissant est truffé de failles de sécurité et est une cible prioritaire de auteurs de logiciels malveillants et malfaiteurs.
Si vous avez une utilisation ou un besoin affirmatif de Java, il existe un moyen d’installer ce programme tout en minimisant le risque que des escrocs exploitent des failles inconnues ou non corrigées dans le programme : débranchez-le du navigateur à moins que et jusqu’à ce que vous soyez sur un site qui l’exige (ou au moins tirer parti du click-to-play, qui peut empêcher les sites Web d’afficher à la fois le contenu Java et Flash par défaut).
Les dernières versions de Java permettent aux utilisateurs désactiver le contenu Java dans les navigateurs Web à travers le Panneau de configuration Java. Vous pouvez également envisager une approche à double navigateur, en débranchant Java du navigateur que vous utilisez pour la navigation quotidienne et en le laissant branché sur un deuxième navigateur que vous n’utilisez que pour les sites nécessitant Java.
Beaucoup de gens confondent Java avec Javascript, un puissant langage de script qui permet de rendre les sites interactifs. Malheureusement, un pourcentage énorme d’attaques basées sur le Web utilisent des astuces JavaScript pour imposer des logiciels malveillants et des exploits aux visiteurs du site. Pour en savoir plus sur les façons de gérer JavaScript dans le navigateur, consultez mon didacticiel Outils pour un PC plus sûr.