Microsoft a publié aujourd’hui des mises à jour pour combler les failles de sécurité dans son logiciel, y compris des correctifs pour corriger au moins 74 faiblesses dans diverses saveurs de les fenêtres et les programmes qui s’exécutent dessus. Les mises à jour de novembre incluent des correctifs pour une faille zero-day dans Internet Explorer qui est actuellement exploité à l’état sauvage, ainsi qu’un bug sournois dans certaines versions de Office pour Mac qui contourne les protections de sécurité et a été détaillé publiquement avant les correctifs d’aujourd’hui.
Plus d’une douzaine de failles abordées dans la version de ce mois-ci sont classées « critiques », ce qui signifie qu’elles impliquent des faiblesses qui pourraient être exploitées pour installer des logiciels malveillants sans aucune action de la part de l’utilisateur, à l’exception peut-être de la navigation vers un site Web piraté ou malveillant. ou l’ouverture d’une pièce jointe piégée.
La plus inquiétante de ces failles critiques est peut-être une faille zero-day dans Internet Exploseur Explorateur (CVE-2019-1429) qui a déjà fait l’objet d’une exploitation active. Les mises à jour d’aujourd’hui corrigent également deux autres vulnérabilités critiques dans le même composant Windows qui gère divers langages de script.
Microsoft a également corrigé une faille dans Microsoft Office pour Mac (CVE-2019-1457) qui pourrait permettre aux attaquants de contourner les protections de sécurité dans certaines versions du programme.
Les macros sont des morceaux de code informatique qui peuvent être intégrés dans les fichiers Office, et les macros malveillantes sont fréquemment utilisées par les fournisseurs de logiciels malveillants pour compromettre les systèmes Windows. Habituellement, cela prend la forme d’une invite incitant l’utilisateur à « activer les macros » une fois qu’il a ouvert un document Office piégé envoyé par e-mail. Ainsi, Office dispose d’une fonctionnalité appelée « désactiver toutes les macros sans notification ».
Mais Microsoft affirme que toutes les versions d’Office prennent toujours en charge un ancien type de macros qui ne respectent pas ce paramètre et peuvent être utilisées comme vecteur pour pousser les logiciels malveillants. Will Dorman du Le CERT/CC a signalé qu’Office 2016 et 2019 pour Mac ne parviendront pas à inviter l’utilisateur avant d’exécuter ces anciens types de macros si le paramètre « Désactiver toutes les macros sans notification » est utilisé.
D’autres applications ou composants Windows recevant aujourd’hui des correctifs pour des failles critiques incluent Microsoft Exchange et Windows Media Player. En outre, Microsoft a également corrigé neuf vulnérabilités, dont cinq critiques, dans le Windows Hyper-Vun complément à la Système d’exploitation Windows Server (et Windows 10 Pro) qui permet aux utilisateurs de créer et d’exécuter machines virtuelles (autres systèmes d’exploitation « invités ») à partir de Windows.
Bien que Adobe publie généralement des correctifs pour son Lecteur Flash composant de navigateur sur Patch Tuesday, c’est le deuxième mois consécutif qu’Adobe n’a publié aucune mise à jour de sécurité pour Flash. Cependant, Adobe a proposé aujourd’hui des correctifs de sécurité pour une variété de ses suites logicielles créatives, y compris Animer, Illustrateur, Encodeur multimédia et Pont. De plus, j’ai oublié de noter le mois dernier qu’Adobe a publié une mise à jour critique pour Lecteur Acrobat ce corrigé au moins 67 boguesdonc si vous avez installé l’un de ces produits, assurez-vous qu’ils sont corrigés et à jour.
Finalement, Google a récemment corrigé une faille zero-day dans son Chrome Navigateur Internet (CVE-2019-13720). Si vous utilisez Chrome et voyez une flèche orientée vers le haut à droite de la barre d’adresse, vous avez une mise à jour en attente ; la fermeture complète et le redémarrage du navigateur devraient installer toutes les mises à jour disponibles.
Cela semble être le bon moment pour vous rappeler à tous Windows 7 utilisateurs finaux que Microsoft cessera de fournir des mises à jour de sécurité après janvier 2020 (cette fin de vie affecte également Windows Server 2008 et 2008 R2). Alors que les entreprises et autres acheteurs de licences en volume ont la possibilité de payer pour d’autres correctifs après ce point, tous les autres utilisateurs de Windows 7 qui souhaitent rester avec Windows devront envisager de migrer vers Windows 10 bientôt.
Heads-up standard : Windows 10 aime installer des correctifs en une seule fois et redémarrer votre ordinateur selon son propre calendrier. Microsoft ne permet pas aux utilisateurs de Windows 10 de modifier facilement ce paramètre, mais c’est possible. Pour tous les autres utilisateurs du système d’exploitation Windows, si vous préférez être averti des nouvelles mises à jour lorsqu’elles sont disponibles afin que vous puissiez choisir quand les installer, il existe un paramètre pour cela dans Windows Update. Pour y arriver, cliquez sur la touche Windows de votre clavier et tapez « mise à jour de Windows » dans la boîte qui apparaît.
Gardez à l’esprit que bien que rester à jour sur les correctifs Windows soit une bonne idée, il est important de vous assurer que vous ne mettez à jour qu’après avoir sauvegardé vos données et fichiers importants. Une sauvegarde fiable signifie que vous n’êtes probablement pas en train de paniquer lorsque l’étrange correctif de bogue cause des problèmes de démarrage du système. Alors faites-vous une faveur et sauvegardez vos fichiers avant d’installer des correctifs.
Comme toujours, si vous rencontrez des problèmes ou des problèmes lors de l’installation de l’un de ces correctifs ce mois-ci, n’hésitez pas à laisser un commentaire à ce sujet ci-dessous ; il y a de bonnes chances que d’autres lecteurs aient vécu la même chose et peuvent même donner ici quelques conseils utiles.
Mise à jour, 13 novembre, 11h34 : Une version antérieure de cette histoire a déformé certaines des conclusions du CERT/CC et a mal orthographié le nom du chercheur. Le message ci-dessus a été corrigé.