Microsoft lance des mises à jour

Microsoft lance ces mises à jour pour avril 2017. Elles portent sur plus de 40 vulnérabilités critiques, importantes et modérées.

Selon Microsoft, les mises à jour résolvent les défauts affectant les composants Edge, Internet Explorer, Windows, Office, Visual Studio pour Mac, .NET Framework, Silverlight et Adobe Flash Player.

L’un des zéro day corrigé par Microsoft ce mois-ci est CVE-2017-0199. Ce CVE est une vulnérabilité Office et WordPad qui peut être exploitée pour l’exécution de code à distance. Le faille de sécurité a été exploité par des acteurs malveillants pour livrer divers malwares.

Une autre vulnérabilité qui a été exploitée activement est CVE-2017-0210. Une faiblesse d’escalade de privilège qui affecte Internet Explorer. Microsoft a déclaré que le défaut existe en raison de l’absence d’application correcte des politiques entre domaines. Il peut être exploité en incitant l’utilisateur ciblé à accéder à une page Web spécialement conçue. Cependant, la société n’a pas partagé d’informations sur les attaques dans lesquelles il a été exploité.

La troisième zéro day est un défaut de bureau que Microsoft a déclaré avoir été exploité dans des attaques ciblées limitées. Elle n’a pas été corrigé avec les mises à jour de ce mois. Cependant, la société a publié une atténuation qui devrait aider à réduire le risque d’exploitation jusqu’à ce qu’un patch soit mis à disposition.

Le problème, suivi par Microsoft avec l’identifiant 2017-2605 (sans CVE), est lié au filtre Encapsulated PostScript (EPS) dans Office. L’atténuation de l’entreprise éteint le filtre EPS par défaut.

La liste des défauts critiques abordés mardi comprend également 13 bugs affectant Internet Explorer, Edge, .NET, Office et Hyper-V.

Microsoft fournit un Guide de miseà jour de sécurité

Microsoft passe des bulletins de sécurité à une base de données appelée Guide de mise à jour de sécurité. La transition est maintenant terminée – aucun bulletin de sécurité n’a été publié ce mois-ci – et, bien que certains utilisateurs se soient rendus satisfaits du changement, d’autres ont dit qu’ils aimeraient mieux l’ancien format.

« [Le] Guide de mise à jour de sécurité fournit un certain nombre de bonnes options de filtrage, mais vous perdez un peu de l’organisation », a déclaré Chris Goettl, responsable produit chez Ivanti. « Par exemple, pour regarder tous les CVE qui sont résolus pour une seule mise à jour, vous devez maintenant regarder chacun individuellement où la page de bulletin les a organisés en un seul endroit. Probablement, il faudra du temps aux personnes pour s’habituer. « 

Il est également intéressant de noter que c’est le dernier cycle de mises à jour de sécurité pour Windows Vista, qui a atteint la fin du support.

Adobe corrige des dizaines de défauts sur plusieurs produits

Les mises à jour de sécurité publiées mardi par Adobe permettent de parcourir près de 60 vulnérabilités dans plusieurs produits de la société. Les mises à jour d’Acrobat et Reader répondent à 47 défauts, y compris plusieurs qui pourraient conduire à une exécution de code arbitraire.

Le reste des trous de sécurité influe sur Flash Player, Photoshop CC pour Mac et Windows, la campagne et Creative Cloud Desktop Application pour Windows. Adobe n’a trouvé aucune preuve d’exploitation dans la nature.

A voir si les failles sur Word seront corrigées