crédit photo © Aleksandr Bedrin - Fotolia.com
Microsoft a publié hier, mardi 10 décembre en fin de journée heure française, son dernier patch tuesday 2013. Il est constitué de 11 correctifs de sécurité. L’occasion de faire un bilan sur l’année qui se termine.
Au cours des douze derniers mois, Microsoft a publié 106 bulletins de sécurité, souligne Wolfgang Kandek, CTO de Qualys. En nette progression par rapport aux 83 livraisons de 2012 mais constant en regard des 100 et 106 patches de 2011 et 2010 respectivement.
Un grand nombre de vulnérabilités Zero Day (publiquement exploitables) ont animé l’année. Particulièrement celles touchant le navigateur Internet Explorer que Microsoft a corrigé en janvier, mars et octobre. Une autre sur ActiveX a été comblée en octobre.
« Cependant, deux vulnérabilités Zero Day restent actuellement ouvertes, souligne Wolfgang Kandek. La première se trouve dans Windows et Microsoft Office, dans la bibliothèque pour le format graphique TIFF mentionnée début novembre […]. La deuxième est une vulnérabilité Zero-Day locale au sein du noyau Windows que Microsoft a indiqué […] le 27 Novembre. »
Si l’éditeur de Windows a prévu de corriger la première faille dans le prochain bulletin, le premier de 2014, le correctif de la seconde n’est pas encore finalisé. La meilleure défense reste donc de « neutraliser le vecteur d’attaque actuellement connu, à savoir une vulnérabilité corrigée dans Adobe Reader ». Mise à jour indispensable du lecteur, donc.
Quant aux correctifs de décembre, ils concernent avant tout les produits Offices et Lync, IE, Exchange, Sharepoint et Windows, ainsi que des outils de développement, touchés par 5 failles critiques et 6 importantes. Elles permettent notamment l’exécution de code à distance et l’élévation de privilèges d’administration. Comme tous les mois, les mises à jour sont donc vivement conseillées.
crédit photo © Aleksandr Bedrin – Fotolia.com
Lire également
Sécurité : le gouvernement US infiltré via une faille dans Adobe ColdFusion
L’Internet des Objets ? Plutôt l’Internet des vulnérabilités pour Symantec
8 smartphones sur 10 sont vulnérables
Microsoft expérimente, sous la marque ZTDNS, une implémentation des principes zero trust pour le trafic…
Accord de principe entre créanciers, propositions de reprise, discussions avec l'État... Le point sur le…
Un temps pressenti pour constituer le socle d'une suite bureautique AWS, Amazon WorkDocs arrivera en…
Eviden regroupe cinq familles de serveurs sous la marque BullSequana AI. Et affiche le supercalculateur…
Le dernier Magic Quadrant du SSE (Secure Service Edge) dénote des tarifications et des modèles…
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…