Patch Tuesday : IE, Edge, Office et Flash dans la hotte de Microsoft

Microsoft dévoile 12 bulletins de sécurité dont 6 critiques. Les navigateurs Edge et IE sont les premiers concernés. Adobe en profite pour combler une faille zero-day dans Flash.

La hotte du Père Noël de la sécurité de Microsoft est bien pleine en ce mois de décembre pour les entreprises et les particuliers. En effet, le Patch Tuesday de cette fin d’année affiche 12 bulletins de sécurité dont 6 sont classés comme critiques et les 6 autres comme importants.

Dans l’ordre de priorité, les administrateurs systèmes devront se pencher sur les failles visant les navigateurs Internet Explorer (IE) et Edge. Le bulletin MS16-144 corrige 3 vulnérabilités (CVE-2016-7282, CVE-2016-7281, CVE-2016-7202), visant IE et ont fait l’objet d’une publication. Edge subit le même traitement à travers le bulletin MS16-145 qui corrige aussi 3 vulnérabilités (CVE-2016-7206, CVE-2016-7282, CVE-2016-7281). Ces failles permettent à des attaquants d’exécuter du code malveillant à distance.

Dans la ‘to do list’ de l’admin, le bulletin MS16-148 arrive en bonne position, car il colmate des brèches critiques dans Office. Almos Sawarte, CTO de Qualys, évoque typiquement le problème du volet de pré-visualisation dans Outlook. Le contenu des mails est préchargé et une charge malveillante peut compromettre le système. Les autres failles critiques touchent la librairie graphique de Windows, Uniscribe et Windows. Les autres bulletins sont classés comme importants et concernent notamment le kernel de Windows et .Net.

Une faille zero-day dans Flash Player à résorber d’urgence

A noter que le Patch Tuesday embarque les correctifs pour Adobe. Le bulletin APSB16-39 est à appliquer en urgence, car il colmate une faille zero-day dans Flash Player qui est actuellement utilisée par les cybercriminels. Adobe en profite pour corriger 8 autres applications de son portefeuille, Coldfusion (APSB16-44) , Robohelp (APSB16-46), Adobe Digital Editions (APSB16-45), InDesign (APSB16-43) , Experience Manager (APSB16-42) , DNG Converter (APSB16-41) et  Animate (APSB16-38).

Sur l’année 2016, Microsoft aura publié 155 bulletins de sécurité, en augmentation de 15% par rapport à l’année 2015. La croissance est de l’ordre de 20% sur un an en scrutant uniquement les vulnérabilités. Les développements de Windows 10 et d’Edge, expliquent peut-être ce surcroît de correctifs. Tout comme le travail des chercheurs pour découvrir les failles de sécurité.

A lire aussi :

La haine de Steve Jobs pour Flash Player enfin expliquée

Flash Player, les pirates l’adorent toujours autant

Crédit photo : Alexskopje-Shutterstock