Microsoft a publié mardi des correctifs pour combler les failles de sécurité critiques dans Windows et d’autres logiciels. La société a publié 13 correctifs pour s’attaquer à des dizaines de vulnérabilités, y compris un bogue de partage de fichiers « Badlock » très médiatisé qui semble prêt à être exploité. De plus, Adobe a mis à jour son Lecteur Flash version pour corriger au moins deux douzaines de failles – en plus de la vulnérabilité zero-day corrigée par Adobe la semaine dernière.

Source : badlock.org
Le correctif Windows qui semble attirer le plus l’attention ce mois-ci sept vulnérabilités dans Samba, un service utilisé pour gérer les services de fichiers et d’impression sur des réseaux et plusieurs systèmes d’exploitation. Cela peut sembler assez anodin, mais les attaquants qui accèdent à un réseau privé ou d’entreprise pourraient utiliser ces failles pour intercepter le trafic, afficher ou modifier les mots de passe des utilisateurs ou arrêter des services critiques.
Selon badlock.orgun site Web mis en place pour diffuser des informations sur la nature généralisée de la menace que représente cette vulnérabilité, nous verrons probablement bientôt une exploitation active des vulnérabilités de Samba.
Deux des correctifs Microsoft corrigent des failles qui ont été divulguées avant le Patch Tuesday. L’un d’eux est inclus dans un lot de correctifs pour Internet Explorer. UNE mise à jour critique pour le Composant graphique Microsoft cible quatre vulnérabilités, dont deux ont déjà été détectées dans des exploits dans la nature, selon Chris Goettl chez fournisseur de sécurité Chavlik.
Petit rappel : si vous utilisez Windows et que vous n’avez pas encore profité de la Boîte à outils d’expérience d’atténuation améliorée, alias « EMET », vous devriez certainement l’envisager. Je décris les fonctionnalités de base et les avantages de l’exécution d’EMET dans cet article de blog de 2014 (oui, il est temps de revenir sur EMET dans un futur article), mais l’essentiel est qu’EMET aide à bloquer ou à atténuer les exploits contre les vulnérabilités Windows connues et inconnues et failles dans les applications tierces qui s’exécutent sur Windows. La dernière version, v. 5.5, est disponible ici.
Vendredi, Adobe a publié une mise à jour d’urgence pour Flash Player afin de corriger une vulnérabilité qui est activement exploitée dans la nature et utilisée pour imposer des logiciels malveillants (tels que des rançongiciels). Adobe mis à jour son avis pour que cette version inclue des correctifs pour 23 défauts supplémentaires.
Comme je l’ai noté dans l’article de la semaine dernière sur le correctif flash d’urgence, la plupart des utilisateurs feraient mieux de boitiller ou de supprimer complètement Flash. J’en ai plus sur cette approche (ainsi que des solutions légèrement moins radicales) dans Un mois sans Adobe Flash Player.
Si vous choisissez de mettre à jour, veuillez le faire aujourd’hui. La version la plus récente pour les utilisateurs Mac et Windows est 21.0.0.213, et devrait être disponible auprès du Flasher la page d’accueil. Les utilisateurs de Windows qui naviguent sur le Web avec autre chose que Internet Explorer peut avoir besoin d’appliquer ce correctif deux fois, une fois avec IE et une autre fois en utilisant le navigateur alternatif (Firefox, Opera, par exemple). Chrome et IE devrait installer automatiquement la dernière version de Flash au redémarrage du navigateur (j’ai dû redémarrer manuellement Chrome pour obtenir la dernière version de Flash).