Mise à jour du 08/04/11, par Hinault Romaric
Microsoft, dans le cadre de son traditionnel processus de notification préalable sur sa prochaine mise à jour de sécurité le Patch Tuesday, vient de dévoiler les correctifs de sécurité qui seront inclus dans les prochains bulletins de sécurité.
Cette fois, c’est un nombre record de 64 vulnérabilités qui touchent Windows, Office, Internet Explorer, Windows graphics framework, Visual Studio et le framework .NET qui seront corrigées.
C’est un total de 17 bulletins de sécurité, dont 9 sont qualifiés de critiques et les 8 autres d’importants qui seront mis à la disposition des utilisateurs.
Ces bulletins apportent un correctif pour la faille de sécurité qui touche le gestionnaire de protocole MHTML dans Windows, qui pouvait être exploitée par un pirate en utilisant un lien pointant sur un script malveillant pour dérober des informations sensibles ou effectuer d’autres actions non autorisées par l’utilisateur.
Le patch apporte également un correctif pour la vulnérabilité dans Server Message Block (SMB) divulgués le 15 février, qui pouvait être utilisée pour exécuter du Code distant.
La publication du patch Tuesday est prévue pour le deuxième mardi du mois d’avril (12 avril). Et Microsoft conseille d’installer au plus vite l’ensemble des bulletins.
Source : Microsoft Security Center
Patch Tuesday : une douzaine de correctifs dont trois critiques
seront publiés la semaine prochaine
Mise à jour du 4/02/11, par Hinault Romaric
Microsoft vient de divulguer quelques informations dans le cadre de son processus de notification préalable sur sa prochaine mise à jour de Sécurité le « Patch Tuesday ».
C’est au total 12 correctifs pour 22 failles de sécurité qui seront disponibles dont 3 sont qualifiés de "critique" et le reste "d’important". Ces correctifs viennent résoudre des problèmes touchant Windows, Internet Explorer, Office, Visual Studio.
L’un de ces bulletins permet de corriger une vulnérabilité critique découverte récemment dans le moteur HTML d’Internet Explorer 6, 7 et 8 qui pouvait être exploitée lorsque le navigateur traite des fichiers CSS pour exécuter du code arbitraire via une page Web malicieuse.
On note également la mise à disposition d’un correctif pour le bug dans le moteur de rendu graphique du système d’exploitation Windows (XP, Vista et 2003 Server) qui pouvait être utilisée par un pirate distant pour installer des programmes malveillants, afficher modifier ou supprimer des données, découverte en début de cette année.
Cependant la faille dans le gestionnaire de protocole MHTML touchant quasiment toutes les versions de Windows et pouvant être exploitée pour dérober des informations sensibles ou effectuer d’autres actions non autorisées par l’utilisateur, divulguer la semaine dernière n’a pas été résolue. Mais Microsoft avait déjà publié une parade contre celle-ci.
Le Patch Tuesday sera disponible mardi prochain 9 février.
Source : Microsoft Security Center
Microsoft corrige 40 failles de sécurité liées à Windows, Office, Internet Explorer, SharePoint Server et Exchange, dans son dernier Patch Tuesday de l'année
Mise à jour du 15.12.2010 par Katleen
Microsoft a rendu disponible hier son Patch Tuesday de décembre. Moins fourni que celui du mois dernier, il corrige tout de même 40 failles de sécurité.
Composée de 17 bulletins (de MS10-090 à MS10-106), cette mise à jour est la dernière de l'année 2010 pour l'éditeur américain.
Le premier bulletin de la série (MS10-090), l'un des plus cruciaux du lot, corrige sept failles touchant Internet Explorer (dans des environnements Windows et Windows Server uniquement). Parmi elles, cinq sont critiques, et deux sont modérées : la CVE-2010-3962 (qui permet d'exécuter du code malveillant à distance via les CSS) est ainsi fixée
Le bulletin MS10-091, quant à lui, résous des problèmes liés aux pilotes des fontes OpenType, qui n'ont pas encore été exploités.
Enfin, Windows, Office, Internet Explorer, SharePoint Server et Exchange sont concernés par les autres correctifs, dont 14 sont importants, deux critiques et 1 modéré.
Microsoft conseille d'installer au plus vite l'ensemble des bulletins.
Source : Le Patch Tuesday du 14.12.2010
Suite à cette sortie, que bilan sécuritaire feriez-vous des actions 2010 de Microsoft ?
Mise à jour du 12.10.2010 par Katleen
Microsoft corrige 49 failles dont 4 critiques dans son Patch Tuesday d'octobre, qui corrige une vulnérabilité liée au ver Stuxnet
Le bulletin de sécurité émis par Microsoft ce mardi, dans le cadre de ses célèbres Patch Tuesday, apporte comme de coutume des correctifs de sécurité pour les produits de la firme (Windows, Internet Explorer, Office, SharePoint et .NET).
Ce mois-ci, 49 vulnérabilités sont corrigées, via 16 mises à jour. Parmi ces failles de sécurité, seules 4 sont estampillées "critiques". Deux autres sont "modérées", le reste est "d'un niveau important de dangerosité" (elles pourraient mener à des usurpations de privilèges, des fuites d'informations ou à l'exécution de code distant).
Pour en revenir aux vulnérabilités critiques, elles ouvriraient la voie à des exploits permettant de prendre le contrôle à distance d'une machine via Internet Explorer (6, 7 et 8) mais aussi le service de partage en réseau du lecteurWindows Media, le moteur du gestionnaire des polices Embedded OpenType et .Net.
Dernier point important, le bulletin MS10-073 corrige une faille en rapport avec le ver Stuxnet (sur les deux qui avaient été évoquées le mois dernier). Un prochain bulletin s'occupera de traiter sa soeur.
Source : Le Patch Tuesday du 10 Octobre de Microsoft
Microsoft corrige 34 vulnérabilités touchant Windows, dont plusieurs critiques dans le plus gros "Patch Tuesday" de 2010
Hier, Microsoft a sorti sa plus grosse mise à jour "Patch Tuesday" de 2010 avec dix bulletins (dont trois critiques) corrigeant 34 vulnérabilités affectant toutes les versions de Windows, ainsi que Office XP, Office 2003 et 2007, Office 2004 et 2008 pour Mac, Excel Viewer et Sharepoint Services 3.0.
Les bulletins critiques portaient sur dix failles qui pouvaient potentiellement permettre à une personne mal intentionnée de prendre le contrôle à distance d'un ordinateur équipé de Windows. Ils ont été déployés en priorité par Microsoft. Le premier d'entre eux, MS10-033, patche une faille dans Quartz.dll et Asycfull.dll pour toutes les versions de Windows.
Le second, MS10-034, est une mise à jour cumulée pour Active X Kill Bits (un code qui repère les programmes spécifiques à Active X qui ne sont pas sûrs) pour Windows 2000, XP, Vista et 7. Il applique Kill Bits à deux contrôles Microsoft : Internet Explorer 8 Developer Tools et Data Analyzer Active X (qui n'est pas installé par défaut).
Enfin, le dernier bulletin critique (MS10-035) est une mise à jour cumulée pour Internet Explorer qui s'occupe de six vulnérabilités.
En dehors de ces correctifs prioritaires, on trouve aussi un patch pour Security Advisory 983438 qui est lié à une faille dans SharePoint Services 3.0 (et qui pouvait permettre à une attaque de type cross-site scripting par le biais du navigateur).
Egalement corrigées, des failles dans les pilotes du Kernel-Mode de Windows : le COM (Component Object Model) Validation d'Office; l'OpenType Compact Font Format Driver ; Excel, Internet Information Services et Microsoft .NET Framework. Ce bulletin, MS10-036, n'est pas pris en charge par l'architecture d'Office XP. Aussi Microsoft a-t-il travaillé sur une version spécifique qui peut être installée depuis Microsoft Fixit sur Windows XP.
"Le Patch Tuesday de ce mois présente le plus gros bulletin jamais publié, avec 14 vulnérabilités situées dans Excel traitées simultanément", annonce Joshua Talbot, expert chez Symantec Security Response.
Sources : Security Response Center blog
et Security and Research Defense
Microsoft publiera une douzaine de correctifs dont trois critiques la semaine prochaine
Dans le cadre de son "Patch Tuesday"
Microsoft publiera une douzaine de correctifs dont trois critiques la semaine prochaine
Dans le cadre de son "Patch Tuesday"
Le , par Katleen Erna
Une erreur dans cette actualité ? Signalez-nous-la !