Microsoft a publié aujourd’hui son dernier lot de mises à jour de sécurité pour les fenêtres PC en 2020, terminant l’année avec une charge de patch relativement légère. Neuf des 58 vulnérabilités de sécurité traitées ce mois-ci ont obtenu le label « critique » le plus grave de Microsoft, ce qui signifie qu’elles peuvent être exploitées par des logiciels malveillants ou des malfaiteurs pour prendre le contrôle à distance des PC sans l’aide des utilisateurs.
Heureusement, il ne semble pas qu’aucune des failles corrigées ce mois-ci ne soit activement exploitée, et aucune d’entre elles n’ait été détaillée publiquement avant aujourd’hui.
Les bits critiques résident dans les mises à jour pour Serveur Microsoft Exchange, Serveur Sharepointet Windows 10 et Serveur 2016 systèmes. De plus, Microsoft a publié un avis sur la façon de minimiser le risque d’une faiblesse d’usurpation DNS dans Windows Server 2008 à 2019.
Certaines des failles « importantes » sous-critiques traitées ce mois-ci méritent également probablement d’être corrigées rapidement dans les environnements d’entreprise, y compris un trio de mises à jour s’attaquant aux problèmes de sécurité avec Microsoft Office.
« Compte tenu de la vitesse à laquelle les attaquants militarisent souvent les vulnérabilités de Microsoft Office, celles-ci devraient être prioritaires dans les correctifs », a déclaré Allan Liskaarchitecte sécurité senior chez Avenir enregistré. « Les vulnérabilités, si elles sont exploitées, permettraient à un attaquant d’exécuter du code arbitraire sur la machine de la victime. Ces vulnérabilités affectent Microsoft Excel 2013 à 2019, les versions Microsoft 365 32 et 64 bits, les versions Microsoft Office 2019 32 et 64 bits et Microsoft Excel pour Mac 2019. »
Nous avons également appris cette semaine que Redmond s’adressait discrètement à un effrayant Vulnérabilité « zéro clic » dans son Équipes Microsoft plate-forme qui aurait permis à n’importe qui d’exécuter le code de son choix simplement en envoyant à la cible un message de chat spécialement conçu pour les utilisateurs de Teams. Le bogue était multiplateforme, ce qui signifie qu’il aurait également pu être utilisé pour fournir du code malveillant aux personnes utilisant Teams sur des appareils non Windows.
Chercheur Oskars Vegeris a déclaré dans un message de preuve de concept à Github qu’il a signalé la faille à Microsoft fin août, mais que Microsoft n’a pas attribué au bogue une note CVE (Common Vulnerabilities and Exposure) car il a pour politique de ne pas le faire pour les bogues qui peuvent être corrigés du côté de Microsoft sans interaction de l’utilisateur.
Selon Vegeris, Microsoft a corrigé la faille Teams fin octobre. Mais il a déclaré que le bogue qu’ils avaient corrigé était le premier des cinq défauts d’exécution de code à distance zéro ou en un clic qu’il avait trouvés et signalés dans Teams. Joint via LinkedIn, Vegeris a refusé de dire si Microsoft avait déjà résolu les problèmes restants de Teams.
Séparément, Adobe a publié des mises à jour de sécurité pour son Prélude, Gestionnaire d’expérience et Logiciel lightroom. Il n’y a pas eu de mises à jour de sécurité pour Adobe Flash Player, ce qui est approprié étant donné qu’Adobe met fin au programme à la fin de l’année. Microsoft prend des mesures pour supprimer Flash de ses navigateurs Windows, et Google et Firefox bloquent déjà Flash par défaut.
C’est une bonne idée pour les utilisateurs de Windows de prendre l’habitude de mettre à jour au moins une fois par mois, mais pour les utilisateurs réguliers (lire : pas les entreprises), il est généralement prudent d’attendre quelques jours jusqu’à ce que les correctifs soient publiés, afin que Microsoft ait le temps pour aplanir les failles de la nouvelle armure.
Mais avant de mettre à jour, s’il te plaît assurez-vous d’avoir sauvegardé votre système et/ou vos fichiers importants. Il n’est pas rare qu’un package de mise à jour Windows étouffe son système ou l’empêche de démarrer correctement, et certaines mises à jour sont connues pour effacer ou corrompre des fichiers.
Alors rendez-vous service et sauvegardez avant d’installer des correctifs. Windows 10 a même quelques outils intégrés pour vous aider à le faire, soit par fichier/dossier, soit en créant une copie complète et amorçable de votre disque dur en une seule fois.
Et si vous souhaitez vous assurer que Windows a été configuré pour suspendre la mise à jour afin de pouvoir sauvegarder vos fichiers et/ou votre système avant que le système d’exploitation ne décide de redémarrer et d’installer les correctifs selon son propre calendrier, voir ce guide.
Comme toujours, si vous rencontrez des problèmes ou des problèmes lors de l’installation de l’un de ces correctifs ce mois-ci, veuillez envisager de laisser un commentaire à ce sujet ci-dessous ; il y a de fortes chances que d’autres lecteurs aient vécu la même chose et peuvent donner ici quelques conseils utiles.