Microsoft a publié aujourd’hui des mises à jour pour corriger 113 vulnérabilités de sécurité dans ses différents les fenêtres systèmes d’exploitation et logiciels connexes. Ceux-ci incluent au moins trois failles qui sont activement exploitées, ainsi que deux autres qui ont été détaillées publiquement avant aujourd’hui, donnant potentiellement aux attaquants une longueur d’avance pour déterminer comment exploiter les bogues.
Dix-neuf des faiblesses corrigées lors de ce Patch Tuesday se sont vu attribuer la cote « critique » la plus grave de Microsoft, ce qui signifie que des logiciels malveillants ou des malfaiteurs pourraient les exploiter pour obtenir un contrôle complet et à distance sur des ordinateurs vulnérables sans l’aide des utilisateurs.
Près du sommet du tas se trouve CVE-2020-1020un bogue exploitable à distance dans le Gestionnaire de polices Adobe bibliothèque qui a été détaillée pour la première fois fin mars lorsque Microsoft a déclaré avoir vu la faille utilisée dans des attaques actives.
La bibliothèque Adobe Font Manager est à l’origine d’une autre faille zero-day — CVE-2020-0938 — bien que les experts du fournisseur de sécurité Défendable dire qu’il n’y a actuellement aucune confirmation que les deux sont liés au même ensemble d’attaques dans la nature. Les deux failles pourraient être exploitées en incitant un utilisateur Windows à ouvrir un document piégé ou en en affichant un dans le volet de prévisualisation de Windows.
L’autre faille zero-day (CVE-2020-1027) affecte Windows 7 et Systèmes Windows 10et a obtenu une note « importante » légèrement moins grave de la part de Microsoft, car il s’agit d’un bogue « d’élévation de privilèges » qui nécessite que l’attaquant soit authentifié localement.
De nombreux sites d’informations sur la sécurité signalent que Microsoft a corrigé un total de quatre failles zero-day ce mois-ci, mais il semble que l’avis concernant une faille critique d’Internet Explorer (CVE-2020-0968) a été révisé pour indiquer que Microsoft n’a pas encore reçu de rapports indiquant qu’il est utilisé dans des attaques actives. Cependant, l’avis indique que ce bogue IE sera probablement exploité bientôt.
Chercheurs dans une entreprise de sécurité Avenir enregistré concentré sur CVE-2020-0796, une vulnérabilité critique surnommée « SMBGhost » qui, selon les rumeurs, existait dans le Patch Tuesday du mois dernier, mais pour laquelle un correctif hors bande n’a été publié que le 12 mars. Le problème réside dans un composant de partage de fichiers de Windows, et pourrait être exploité simplement en envoyant à la machine victime des paquets de données spécialement conçus. Un code de preuve de concept montrant comment exploiter le bogue a été publié le 1er avril, mais jusqu’à présent, rien n’indique que cette méthode ait été intégrée à des logiciels malveillants ou à des attaques actives.
Futurs enregistrés Allan Liska note que l’une des raisons pour lesquelles ces derniers mois ont vu autant de correctifs de Microsoft est la société a récemment embauché « SandboxEscaper », un surnom utilisé par le chercheur en sécurité responsable de libérant plus d’une demi-douzaine de failles zero-day contre les produits Microsoft l’année dernière.
« SandboxEscaper a apporté plusieurs contributions au Patch Tuesday de ce mois-ci », a déclaré Liska. « C’est une excellente nouvelle pour Microsoft et la communauté de la sécurité dans son ensemble. »
Une fois de plus, Adobe nous a accordé un répit dans la mise à jour de son programme Flash Player avec des correctifs de sécurité. J’attends avec impatience la fin de cette année, lorsque la société a promis de mettre fin une fois pour toutes à ce programme bogué et peu sûr. Adobe a publié des mises à jour de sécurité pour son Logiciels ColdFusion, After Effects et Digital Editions.
En parlant de plates-formes logicielles boguées, Oracle a publié une mise à jour trimestrielle pour corriger plus de 400 failles de sécurité sur plusieurs produits, y compris son Java SE programme. Si Java est installé et que vous devez/voulez le garder installé, veuillez assurez-vous qu’il est à jour.
Maintenant pour mes clauses de non-responsabilité obligatoires. Juste un rappel amical que bien que de nombreuses vulnérabilités corrigées dans le lot de correctifs Microsoft d’aujourd’hui affectent les systèmes d’exploitation Windows 7 – y compris les trois failles du jour zéro – ce système d’exploitation n’est plus pris en charge par les mises à jour de sécurité (sauf si vous êtes une entreprise prenant avantage de Microsoft programme payant de mises à jour de sécurité étenduesqui est disponible pour les utilisateurs Windows 7 Professionnel et Windows 7 Enterprise).
Si vous comptez sur Windows 7 pour une utilisation quotidienne, pensez à passer à quelque chose de plus récent. Ce quelque chose pourrait être un ordinateur avec Windows 10. Ou peut-être avez-vous toujours voulu cet ordinateur MacOS brillant.
Si le coût est le principal facteur de motivation et que l’utilisateur que vous avez en tête ne fait pas grand-chose avec le système à part naviguer sur le Web, peut-être un Chromebook ou une machine plus ancienne avec une version récente de Linux est la réponse (Ubuntu peut être plus facile pour les non-natifs de Linux). Quel que soit le système que vous choisissez, il est important d’en choisir un qui réponde aux besoins du propriétaire et qui fournisse des mises à jour de sécurité en continu.
Gardez à l’esprit que bien qu’il soit indispensable de rester à jour sur les correctifs Windows, il est important de vous assurer que vous ne mettez à jour qu’après avoir sauvegardé vos données et fichiers importants. Une sauvegarde fiable signifie que vous ne perdez pas la tête lorsqu’un correctif de bogue impair cause des problèmes de démarrage du système.
Alors faites-vous une faveur et sauvegardez vos fichiers avant d’installer des correctifs. Windows 10 a même quelques outils intégrés pour vous aider à le faire, soit par fichier/dossier, soit en créant une copie complète et amorçable de votre disque dur en une seule fois.
Comme toujours, si vous rencontrez des problèmes ou des problèmes lors de l’installation de l’un de ces correctifs ce mois-ci, veuillez envisager de laisser un commentaire à ce sujet ci-dessous ; il y a de fortes chances que d’autres lecteurs aient vécu la même chose et peuvent donner ici quelques conseils utiles. Aussi, gardez un œil sur Blog de AskWoody à partir de Woody Leonhardqui surveille de près les mises à jour boguées de Microsoft chaque mois.
Lecture complémentaire :