Obtenez vos correctifs sur les gens, car il y a de fortes chances que vous exécutiez des logiciels à partir de Microsoft, Adobe ou Oracle qui ont reçu des mises à jour de sécurité critiques aujourd’hui. Adobe a publié un Lecteur Flash mise à jour pour corriger au moins 22 failles, dont une qui est activement exploitée. Microsoft a publié 11 ensembles de mises à jour pour corriger plus de deux douzaines de bogues dans Windows et les logiciels associés, dont un qui a été rendu public ce mois-ci. Et Oracle a une mise à jour pour son Java logiciel qui corrige au moins 15 failles, toutes exploitables à distance sans aucune authentification.
d’Adobe pièce inclut un correctif pour un bogue zero-day (CVE-2015-3043) qui, selon la société, est déjà exploité. Les utilisateurs d’Adobe Flash Player pour Windows et Macintosh doivent mettre à jour Adobe Flash Player 17.0.0.169 (les versions actuelles des autres systèmes d’exploitation sont répertoriées dans le tableau ci-dessous).
Si vous ne savez pas si Flash est installé sur votre navigateur ou quelle version il peut exécuter, accédez à ce lien. Adobe Flash Player installé avec Google Chromeainsi que Internet Explorer au Windows 8.xdevrait automatiquement être mis à jour vers la version 17.0.0.169.
Google a une mise à jour disponible pour Chrome qui corrige une multitude de défauts, et je suppose qu’il inclut cette mise à jour Flash, bien que les pages du vérificateur Flash signalent uniquement que j’ai maintenant la version 17.0.0 installée après l’application de la mise à jour Chrome et le redémarrage (la mise à jour Flash publiée le mois dernier a mis cette version à 17.0.0.134, donc ce n’est pas particulièrement utile). Pour forcer l’installation d’une mise à jour disponible, cliquez sur l’icône triple barre à droite de la barre d’adresse, sélectionnez « À propos de Google » Chrome, cliquez sur le bouton Appliquer la mise à jour et redémarrez le navigateur.
Les versions les plus récentes de Flash doivent être disponibles sur le Flash page d’accueilmais méfiez-vous des modules complémentaires potentiellement indésirables, tels que Analyse de sécurité McAfee. Pour éviter cela, décochez la case pré-cochée avant le téléchargement, ou récupérez votre téléchargement Flash spécifique au système d’exploitation à partir de ici. Les utilisateurs de Windows qui naviguent sur le Web avec autre chose qu’Internet Explorer peuvent avoir besoin d’appliquer ce correctif deux fois, une fois avec IE et une autre fois avec le navigateur alternatif (Firefox, Opérapar exemple).
Microsoft a publié 11 bulletins de sécurité ce mois-ci, dont quatre sont marqués « critiques », ce qui signifie que des attaquants ou des logiciels malveillants peuvent les exploiter pour pénétrer dans des systèmes vulnérables sans l’aide des utilisateurs, sauf peut-être pour visiter un site Web piégé ou malveillant. Les correctifs Microsoft corrigent les failles de Windows, Internet Explorer (IE), Office et .NET
Les mises à jour critiques s’appliquent à deux bogues Windows, IE et Office. Les mises à jour .NET prennent une éternité à s’appliquer et introduisent des problèmes lorsqu’elles sont appliquées avec d’autres correctifs. Je suggérerais donc aux utilisateurs de Windows d’appliquer toutes les autres mises à jour, de redémarrer puis d’installer la mise à jour .NET (si disponible pour votre système).
La «mise à jour critique des correctifs» trimestrielle d’Oracle corrige 15 failles de sécurité. Si Java est installé, veuillez le mettre à jour dès que possible. Les utilisateurs de Windows peuvent rechercher le programme dans la liste Ajout/Suppression de programmes de Windows, ou visiter Java.com et cliquer sur « Do I have Java ? lien sur la page d’accueil. Les mises à jour devraient également être disponibles via le Panneau de configuration Java ou deJava.com.
Si vous avez vraiment besoin de Java et que vous l’utilisez pour des sites Web ou des applications spécifiques, prenez quelques minutes pour mettre à jour ce logiciel. Dans le passé, la mise à jour via le panneau de configuration sélectionnait automatiquement l’installation de logiciels tiers, alors assurez-vous de rechercher tous les « modules complémentaires » pré-cochés avant de procéder à une mise à jour via le panneau de configuration Java. De plus, les utilisateurs de Java 7 doivent noter qu’Oracle a mis fin à la prise en charge de Java 7 après cette mise à jour. La société a migré discrètement les utilisateurs de Java 7 vers Java 8, mais si cela ne s’est pas encore produit pour vous et que vous avez vraiment besoin de Java installé dans le navigateur, récupérer une copie de Java 8. La version recommandée est Java 8 mise à jour 45.
Sinon, envisagez sérieusement de supprimer complètement Java. J’ai longtemps exhorté les utilisateurs finaux à junk Java à moins qu’ils n’en aient une utilisation spécifique (ce conseil ne s’adapte pas aux entreprises, qui ont souvent des applications héritées et personnalisées qui reposent sur Java). Ce programme puissant et largement installé est truffé de failles de sécurité et constitue une cible de choix pour les auteurs de logiciels malveillants et les malfaiteurs.
Si vous avez une utilisation ou un besoin affirmatif de Java, il existe un moyen d’installer ce programme tout en minimisant le risque que des escrocs exploitent des failles inconnues ou non corrigées dans le programme : débranchez-le du navigateur à moins que et jusqu’à ce que vous soyez sur un site qui l’exige (ou au moins tirer parti du click-to-play, qui peut empêcher les sites Web d’afficher à la fois le contenu Java et Flash par défaut). Les dernières versions de Java permettent aux utilisateurs désactiver le contenu Java dans les navigateurs Web à travers le Panneau de configuration Java. Vous pouvez également envisager une approche à double navigateur, en débranchant Java du navigateur que vous utilisez pour la navigation quotidienne et en le laissant branché sur un deuxième navigateur que vous n’utilisez que pour les sites nécessitant Java.
Beaucoup de gens confondent Java avec Javascript, un puissant langage de script qui permet de rendre les sites interactifs. Malheureusement, un pourcentage énorme d’attaques basées sur le Web utilisent des astuces JavaScript pour imposer des logiciels malveillants et des exploits aux visiteurs du site. Pour en savoir plus sur les façons de gérer JavaScript dans le navigateur, consultez mon didacticiel Outils pour un PC plus sûr.