Adobe et Microsoft aujourd’hui, chacun publie séparément des mises à jour de sécurité pour remédier aux bogues du jour zéro et autres vulnérabilités critiques de son logiciel. Adobe a publié des correctifs pour son Éclat et Onde de choc joueurs, tandis que Microsoft a publié 11 mises à jour corrigeant au moins deux douzaines de failles dans les fenêtres et autres logiciels.
Cinq des 11 ensembles de mises à jour d’aujourd’hui ont obtenu la note « critique » de Microsoft, ce qui signifie que les vulnérabilités corrigées par ces correctifs peuvent être exploitées à distance par des logiciels malveillants ou des malfaiteurs sans l’aide des utilisateurs. En haut de la liste des priorités pour les utilisateurs de Windows devrait être MS13-096un correctif qui corrige une faille de sécurité critique de type « zero-day » dans certaines versions de Windows et Bureau. Microsoft a mis en garde pour la première fois contre cette faille le 5 novembre.
Microsoft exhorte également les clients et les administrateurs système à donner la priorité à deux autres correctifs critiques : MS13-097un patch cumulatif pour Internet Explorer (toutes les versions) et MS13-099, qui corrige un problème de script dangereux dans Windows. Ces trois correctifs corrigent des bogues qui, selon Microsoft, sont susceptibles d’être exploités par des attaquants dans un proche avenir.
Ross Barrettdirecteur principal de l’ingénierie de la sécurité chez Rapide7signale un patch remarquable (MS13-104) pour les utilisateurs des services « cloud » de Microsoft Office 2013, qui corrige apparemment une autre vulnérabilité activement exploitée. « Ce problème de divulgation d’informations affecte le » client « Office et pourrait permettre à un attaquant de détourner un jeton d’authentification et d’accéder à des documents stockés dans des ressources cloud », a déclaré Barrett.
Pour plus d’informations sur les mises à jour d’aujourd’hui, consultez les résumés sur Blog Technet de Microsoftla Journal du centre de tempête Internet SANSet le Blog Qualys.
MISES À JOUR ADOBE FLASH ET SHOCKWAVE
Adobe a publié un patch pour son logiciel Flash Player qui corrige au moins deux failles de sécurité, dont une vulnérabilité qui fait déjà l’objet d’attaques actives. Adobe a déclaré être au courant de rapports faisant état d’un exploit conçu pour inciter l’utilisateur à ouvrir un document Microsoft Word avec un contenu Flash (.swf) malveillant. L’entreprise crédite le chercheur Attila Suszter pour signaler le défaut ; plus d’informations sur ce bogue sont disponibles sur Le blog de Suszter.
Pour savoir si Flash est installé sur votre système et à quelle version, vérifiez cette page. Des mises à jour sont disponibles pour Windows, Mac et Linux versions de Flash. La dernière version pour les utilisateurs Windows et Mac est 11.9.900.170et 11.2.202.332 pour Linux.
Google Chrome met automatiquement à jour ses propres versions de Flash (mais pas toujours immédiatement) ; le plus récent Flash pour Chrome est 11.9.900.170. Internet Explorer 10 et 11 au Windows 8 inclure une version intégrée de Flash qui obtient des mises à jour à partir de Windows Update, plutôt que via le programme d’installation d’Adobe. Sous Windows 7 et versions antérieures, Flash n’est pas intégré et ne doit pas être mis à jour via le programme de mise à jour d’Adobe ou manuellement en téléchargeant la version appropriée à partir de cette page.
En outre, Adode AIR (requis par certaines applications comme Pandora Desktop, par exemple) a été mis à jour pour v.3.9.1380 pour les appareils Windows, Mac et Android. Adobe AIR recherche et vous invite à installer toutes les mises à jour disponibles chaque fois que vous lancez une application qui utilise AIR ; dans tous les cas, le lien de téléchargement est ici.
Adobe a également publié une mise à jour pour son Joueur d’onde de choc logiciel qui corrige au moins deux vulnérabilités, apportant Shockwave à v. 12.0.7.148 sur les systèmes Windows et Mac. Shockwave est l’un de ces programmes que j’ai exhorté les lecteurs à supprimer ou à éviter d’installer. Comme Java, il s’agit très souvent de logiciels bogués que de nombreuses personnes ont installés mais dont ils n’ont pas vraiment besoin pour naviguer sur le Web au quotidien. Sécuriser votre système signifie non seulement s’assurer que les choses sont verrouillées, mais supprimer les programmes inutiles, et Shockwave est en haut de ma liste sur ce front.
Si vous visitez ce lien et voyez une courte animation, elle devrait vous indiquer quelle version de Shockwave vous avez installée. S’il vous invite à télécharger Shockwave, cela signifie que Shockwave n’est pas installé et que vous n’en avez probablement pas besoin. Les utilisateurs de Firefox doivent noter que la présence du plug-in Shockwave Flash répertorié dans la section des modules complémentaires de Firefox indique une installation du plug-in Adobe Flash Player, et non d’Adobe Shockwave.