Microsoft Windows les utilisateurs et ceux qui ont Adobe Lecteur Flash ou Java installé, il est temps de mettre à jour à nouveau ! Microsoft a publié 13 mises à jour pour corriger quelque trois douzaines de vulnérabilités de sécurité uniques. Adobe a publié des correctifs de sécurité pour son logiciel Flash Player qui corrige au moins 22 failles de sécurité dans le composant de navigateur largement utilisé. Entre-temps, Oracle a publié un correctif de sécurité imprévu pour Java, sa deuxième mise à jour de sécurité pour Java en autant de semaines.
Une grosse mise à jour critique de Redmond répare plus d’une douzaine de problèmes de sécurité avec Internet Explorer. Un autre correctif critique corrige les failles Bord Microsoft – dont quatre qui semblent partager les mêmes identifiants de vulnérabilité (ce qui signifie que Microsoft a réutilisé le même code IE vulnérable dans son nouveau navigateur Edge). Fournisseur de sécurité Qualys comme d’habitude a un bon résumé du reste des mises à jour critiques de Microsoft.
Adobe a publié une mise à jour pour Flash Player qui résout une multitude de problèmes de sécurité avec Flash, un logiciel très puissant mais vulnérable qui est aussi malheureusement omniprésent. Après tout, comme Chris Goettl à Shavlik nous rappelle, réparer Flash sur un ordinateur moderne peut être une affaire compliquée : « Vous devez mettre à jour Adobe Flash pour IE, Flash pour Google Chrome et Flash pour Firefox pour corriger complètement toutes ces 22 vulnérabilités. » Heureusement, Chrome et IE devraient installer automatiquement la dernière version de Flash au redémarrage du navigateur (j’ai dû redémarrer manuellement Chrome pour obtenir la dernière version de Flash).
Si vous décidez de mettre à jour (plus d’informations sur le blocage ou la désinstallation de Flash dans un instant), assurez-vous de surveiller les modules complémentaires indésirables qui sont pré-vérifiés avec le programme de mise à jour Flash d’Adobe. La dernière version de Flash pour la plupart des utilisateurs Windows et Mac sera v.20.0.0.306. Cette page vous dira quelle version de Flash vous avez installée (si Flash n’est pas installé, la page vous proposera un téléchargeur pour l’installer).
Patch away, s’il vous plaît, mais je conseillerais également aux utilisateurs de Flash de comprendre comment mettre le programme dans une boîte afin qu’il ne puisse pas s’exécuter à moins que vous ne le vouliez. Se passer de Flash (ou du moins sans Flash allumé en permanence) est tout simplement logique en matière de sécurité, et ce n’est pas aussi difficile que vous pourriez le penser : consultez mon article, Un mois sans Adobe Flash Player, pour obtenir des conseils sur la façon de minimiser les risques liés à l’installation de Flash.
Enfin, Oracle a publié cette semaine la deuxième mise à jour de sécurité (Java SE 8, mise à jour 73) pour Java JRE. ainsi qu’une mise à jour de sécurité d’urgence d’Oracle pour Java – le deuxième correctif pour Java en une semaine. Cette pièce explore l’histoire derrière la dernière mise à jour de Java, mais la version courte est qu’Oracle corrige un soi-disant « bogue de chargement latéral DLL » qui permet aux applications malveillantes de détourner les processus système légitimes de Java et d’éviter de devoir compter sur des utilisateurs convaincants en double-cliquant et l’exécution du fichier malveillant.
Ce problème de piratage de DLL n’est pas propre à Java ou à Oracle, mais je conseille toujours aux lecteurs de traiter Java comme je le fais avec Flash : désinstallez le programme à moins que vous n’en ayez une utilisation affirmative. Si vous ne pouvez pas le faire, prenez des mesures pour le débrancher de votre navigateur (ou au moins de votre navigateur principal).
Si vous avez une utilisation ou un besoin spécifique de Java, il existe un moyen d’installer ce programme tout en minimisant le risque que des escrocs exploitent des failles inconnues ou non corrigées dans le programme : débranchez-le du navigateur à moins que et jusqu’à ce que vous soyez sur un site qui l’exige (ou au moins tirer parti du click-to-play, qui peut empêcher les sites Web d’afficher à la fois le contenu Java et Flash par défaut). Les dernières versions de Java permettent aux utilisateurs désactiver le contenu Java dans les navigateurs Web à travers le Panneau de configuration Java.
Vous pouvez également envisager une approche à double navigateur, en débranchant Java du navigateur que vous utilisez pour la navigation quotidienne et en le laissant branché sur un deuxième navigateur que vous n’utilisez que pour les sites nécessitant Java.
Beaucoup de gens confondent Java avec Javascript, un puissant langage de script qui permet de rendre les sites interactifs. Malheureusement, un pourcentage énorme d’attaques basées sur le Web utilisent des astuces JavaScript pour imposer des logiciels malveillants et des exploits aux visiteurs du site. Pour en savoir plus sur les façons de gérer JavaScript dans le navigateur, consultez mon didacticiel Outils pour un PC plus sûr.