[ad_1]

Microsoft a publié aujourd’hui des mises à jour de sécurité pour corriger au moins 19 vulnérabilités dans son logiciel, y compris une faille zero-day dans Internet Explorer navigateur qui est déjà activement exploité. Séparément, Adobe a publié une mise à jour critique qui corrige au moins deux failles de sécurité dans son logiciel Flash Player.

crackedwinTrois des huit correctifs publiés par Microsoft ont reçu son étiquette « critique » la plus grave, ce qui signifie que les vulnérabilités qu’ils contiennent peuvent être exploitées à distance par des logiciels malveillants ou des malfaiteurs sans l’aide des utilisateurs de Windows. Parmi les correctifs critiques figure une mise à jour pour Internet Explorer (MS13-088) qui corrige au moins deux trous dans le navigateur Windows par défaut (y compris IE 11). MS13-089 est une faille critique de gestion des fichiers présente dans pratiquement toutes les versions prises en charge de Windows.

Le patch critique final — MS13-090 – corrige essentiellement une autre faille IE (ActiveX) qui est apparue dans attaques ciblées la semaine dernière. Microsoft dit les attaquants ont utilisé une deuxième vulnérabilité de «divulgation d’informations» en tandem avec la faille ActiveX, mais que la société enquête toujours sur celle-ci. Il a noté que son outil Enhanced Mitigation Experience Toolkit (EMET) a bloqué avec succès l’exploit ActiveX.

Néanmoins, il est important pour les utilisateurs d’IE d’appliquer ces mises à jour le plus rapidement possible. Selon Rapide7le code d’exploitation de la vulnérabilité ActiveX est apparu sur Pastebin ce matin.

« Il était connu qu’il faisait l’objet d’une exploitation ciblée, mais cela va probablement s’étendre maintenant que l’exploit est public », a déclaré Ross Barrett, responsable senior de l’ingénierie de la sécurité chez Rapid7. « J’appellerais la correction de ce problème la priorité n°1. » Pour ce que ça vaut, Microsoft est d’accord, du moins selon ce tableau de déploiement de correctifs suggéré.

Le lot de correctifs d’aujourd’hui de Redmond a fait ne pas inclure un correctif officiel pour une autre vulnérabilité zero-day qui a été exploitée activement, bien que Microsoft ait publié un palliatif Outil de réparation la semaine dernière pour aider à atténuer la menace. La société conseille également une fois de plus aux utilisateurs de Windows de revoir EMET.

Vérifier Le blog Technet de Microsoft pour plus d’informations sur ces mises à jour et d’autres que la société a publiées aujourd’hui.

flash cassé-unDans une version de correctif distincte, Adobe a publié un correctif pour son logiciel Flash Player Pour les fenêtres, Mac, Linux et Android dispositifs. La mise à jour Flash amène le lecteur omniprésent à la v. 11.9.900.152 sur les systèmes Mac et Windows. Les utilisateurs naviguant sur le Web avec IE10 ou IE11 sous Windows 8.x devraient obtenir automatiquement la nouvelle version de Flash (11.9.900.152) ; Les utilisateurs d’IE qui ne sont pas sous Windows 8 devront effectuer la mise à jour manuellement si Flash n’est pas configuré pour la mise à jour automatique.

Pour vérifier quelle version de Flash vous avez installée, visitez cette page. Des liens directs vers les différents installateurs Flash sont disponibles ici. Sachez que le téléchargement de Flash Player à partir de l’emplacement recommandé par Adobe — cette page – inclut souvent des add-ons, des scanners de sécurité ou d’autres crud dont vous ne voulez probablement pas. Curieusement, lorsque j’ai visité cette page aujourd’hui avec IE10, le téléchargement comprenait une case pré-cochée pour installer la barre d’outils Google et pour basculer mon navigateur par défaut vers Google Chrome.

En parlant de Chrome, il est grand temps d’aborder un point sensible pour moi ces derniers mois. Lorsque Chrome a commencé à proposer des mises à jour automatiques pour Flash, Google corrigeait souvent discrètement de nouvelles vulnérabilités Flash dans son navigateur avant même qu’Adobe ne publie ses avis de correctifs, parfois des jours à l’avance. De plus en plus au cours de la dernière année, cependant, Google a pris du retard dans ce département. En septembre 2013, par exemple, il a fallu plus d’une semaine à Google pour mettre à jour son navigateur afin de corriger les dernières failles de Flash, laissant les utilisateurs dangereusement exposés. Un porte-parole de Google a attribué ce retard d’une semaine à « un bogue dans Chrome sur Windows 8 Metro » qui a incité Google à « arrêter la mise à jour » pendant qu’il enquêtait sur la cause première. Mais la société n’a jamais pleinement expliqué pourquoi le déploiement de cette mise à jour Flash a été suspendu pour les utilisateurs d’autres versions de Windows.

Je suis heureux de voir que Chrome semble être de retour sur son jeu : la dernière version de Chrome (31.0.1650.48) inclut cette mise à jour Flash (vers 11.9.900.152). Si vous utilisez Chrome et que vous voyez la dernière version, vous devrez peut-être simplement fermer et redémarrer le navigateur.

Enfin, bien qu’Adobe affirme ne pas être au courant d’exploits ou d’attaques actives contre l’une ou l’autre des failles de Flash, la société a peut-être corrigé quelque chose d’un jour zéro aujourd’hui. Parmi les autres correctifs publiés par Adobe, il y a un ensemble de correctifs pour Fusion froide, sa plateforme d’applications Web. Il n’y a pas si longtemps, le chercheur Alex Holden de Garder la sécurité a signalé à Adobe que les mêmes attaquants qui avaient volé le code source de l’entreprise pour ColdFusion, Acrobat, Reader et Photoshop utilisaient également une faille zero-day dans ColdFusion qui, selon Adobe, peut entraîner l’accès à des fichiers à distance sans autorisation. Cette faille était l’une des deux vulnérabilités corrigées par Adobe dans les mises à jour d’aujourd’hui pour ColdFusion.

Holden maintient que cette faille était utilisée par les attaquants avant aujourd’hui. « Hold Security a identifié une tentative d’attaque contre une ressource ColdFusion version 8 par les mêmes pirates à l’origine de failles telles que LexisNexis, Adobe et autres », a déclaré Holden. « Ignorant l’efficacité possible de cette attaque, Hold Security a contacté Adobe. Bien qu’Adobe n’ait trouvé l’attaque précise efficace contre aucune des versions CF prises en charge, ils ont identifié une faille critique dans la même ressource qui a conduit au correctif publié aujourd’hui.

Pour sa part, Adobe affirme n’être au courant d’aucune attaque de type « zero-day » contre la vulnérabilité désormais corrigée, et que la vulnérabilité qu’ils ont attribuée à Holden pour la correction n’était présente que dans ColdFusion version 10.

Mise à jour : 20 h 29 HE : Ajout d’une déclaration de Hold Security.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *