Adobe et Microsoft aujourd’hui, chacun a publié des correctifs pour corriger de graves failles de sécurité dans son logiciel. Adobe a sorti une nouvelle version de son assiégé Lecteur Flash plug-in de navigateur. Redmond a publié des mises à jour pour corriger au moins 61 vulnérabilités distinctes dans Microsoft Windows et des programmes connexes, y compris plusieurs failles qui ont été publiquement détaillées avant aujourd’hui et un bogue « zero-day » dans Windows qui est déjà activement exploité par des attaquants.
Comme d’habitude, la plupart des correctifs de Microsoft s’attaquent aux faiblesses de sécurité des navigateurs Web de l’entreprise, Internet Explorer et Bord. Des correctifs sont également disponibles pour Windows, Bureau, Point de partageet le .NET Frameworkentre autres composants.
Sur les 61 bogues corrigés dans ce lot de correctifs, 17 ont obtenu la note « critique » de Microsoft, ce qui signifie que les logiciels malveillants ou les malfaiteurs pourraient les utiliser pour pénétrer dans les ordinateurs Windows avec peu ou pas d’aide des utilisateurs.
La faille zero-day, CVE-2018-8440affecte les systèmes d’exploitation Microsoft de Windows 7 par Windows 10 et permet à un programme lancé par un utilisateur Windows restreint d’obtenir un accès administratif plus puissant sur le système. Il a été rendu public pour la première fois le 27 août dans un message Twitter (maintenant supprimé) qui reliait les utilisateurs au code de preuve de concept hébergé sur GithubGenericName. Depuis lors, les experts en sécurité ont repéré des versions du code utilisé dans des attaques actives.
Selon la société de sécurité Ivanti, avant aujourd’hui, les malfaiteurs ont été informés à l’avance de trois vulnérabilités de Windows ciblées par ces correctifs. La première, CVE-2018-8457est un problème de corruption de mémoire critique qui pourrait être exploité via un site Web ou un fichier Office malveillant. CVE-2018-8475 est un bogue critique dans la plupart des versions prises en charge de Windows qui peut être utilisé à des fins malveillantes en incitant un utilisateur à afficher un fichier image spécialement conçu. Le troisième défaut révélé précédemment, CVE-2018-8409est une vulnérabilité de « déni de service » un peu moins grave.
Conseil standard sur les correctifs Windows : il n’est pas rare que Redmond fournisse des mises à jour qui finissent par causer des problèmes de stabilité pour certains utilisateurs, et cela ne fait pas de mal d’attendre un jour ou deux avant de voir si des problèmes majeurs sont signalés avec les nouvelles mises à jour avant de les installer. Windows 10 aime installer des correctifs et redémarrer votre ordinateur selon son propre calendrier, et Microsoft ne permet pas aux utilisateurs de Windows 10 de modifier facilement ce paramètre, mais c’est possible. Pour tous les autres utilisateurs du système d’exploitation Windows, si vous préférez être averti des nouvelles mises à jour lorsqu’elles sont disponibles afin que vous puissiez choisir quand les installer, il existe un paramètre pour cela dans Windows Update.
C’est une bonne idée de prendre l’habitude de sauvegarder votre ordinateur avant d’appliquer les mises à jour mensuelles de Microsoft. Windows dispose d’outils intégrés qui peuvent aider à récupérer des correctifs défectueux, mais la restauration du système sur une image de sauvegarde prise juste avant l’installation des mises à jour est souvent beaucoup moins compliquée et une tranquillité d’esprit supplémentaire pendant que vous êtes assis là à prier pour que la machine redémarrer avec succès après le patch.
La seule mise à jour non-Microsoft poussée par Redmond aujourd’hui corrige une seule vulnérabilité dans Adobe Flash Player, CVE-2018-15967. Curieusement, Adobe répertorie la gravité de ce bogue de divulgation d’informations comme « important », tandis que Microsoft le considère comme un défaut « critique » plus dangereux.
Quoi qu’il en soit, si Adobe Flash Player est installé, il est temps soit de mettre à jour votre navigateur et/ou votre système d’exploitation, soit de désactiver ce plugin problématique et non sécurisé. Windows Update doit installer le Flash Patch pour les utilisateurs d’IE/Edge ; la dernière version de Google Chromequi regroupe Flash mais invite les utilisateurs à exécuter des éléments Flash sur une page Web par défaut, inclut également le correctif (bien qu’un arrêt et un redémarrage complets de Chrome puissent être nécessaires avant que le correctif ne soit appliqué).
Les lecteurs fidèles ici savent très bien où je me situe sur Flash : c’est un programme dangereux et souvent exploité qui doit être relégué aux oubliettes de l’histoire d’Internet (pour sa part, Adobe a annoncé son intention de retirer Flash Player en 2020). Heureusement, désactiver Flash dans Chrome est assez simple. Collez « chrome://settings/content » dans une barre de navigateur Chrome, puis sélectionnez « Flash » dans la liste des éléments.
Par défaut, MozillaFirefox sur les ordinateurs Windows avec Flash installé, exécute Flash dans un « mode protégé», qui invite l’utilisateur à décider s’il souhaite activer le plug-in avant que le contenu Flash ne s’exécute sur un site Web.
Les administrateurs ont la possibilité de modifier le comportement de Flash Player lors de l’exécution d’Internet Explorer sur Windows 7 en demandant à l’utilisateur avant de lire le contenu Flash. Un guide sur la façon de le faire est ici (PDF). Les administrateurs peuvent également envisager de mettre en œuvre Vue protégée pour Office. La vue protégée ouvre un fichier marqué comme potentiellement dangereux en mode lecture seule.
Comme toujours, n’hésitez pas à laisser une note dans les commentaires ci-dessous si vous rencontrez des problèmes lors de l’installation de ces correctifs. Bonne mise à jour !