Pas moins de huit correctifs (de MS13-088 à MS13-095) corrigeant 19 failles accompagnent le bulletin de sécurité, le patch tuesday, de Microsoft en novembre. Trois correctifs sont classés comme « critiques ». Autrement dit, ils permettent l’exécution de code à distance avec prise de contrôle de la machine avec les droits administrateurs.
Parmi celle-ci, une vulnérabilité zero day, donc publique et aujourd’hui exploitable, affecte un contrôle Active X (InformationCardSigninHelper Class) d’Internet Explorer. Une faille zero day dont Microsoft avait confirmé l’existence lors de la communication précédant le patch tuesday, vendredi dernier. Il faut néanmoins que l’utilisateur affiche une page Web spécialement conçue pour se voir affecté par la brèche de sécurité. « Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d’impact que ceux qui possèdent des privilèges d’administrateur », souligne par ailleurs l’éditeur.
Les quatre autres bulletins sont classés comme « importants ». Ils corrigent des vulnérabilités qui présentent des risques d’élévation de privilèges, de divulgation d’informations, de déni de service mais aussi d’exécution de code distant.
Internet Explorer (versions 6 à 11) mais aussi Office (de 2003 à 2013) et Outlook (2007 SP3 à 2013) sont affectés. Windows est également concerné depuis XP Service Pack 3 à Windows 8 et 8.1, tant sur plate-forme x86 que ARM (Windows RT) et en éditions 32 comme 64 bits. Les versions serveurs (2003, 2008, y compris pour Itanium, 2008 R2 et 2012) sont également concernées par ces mises à jour critiques et importantes.
Il est donc vivement recommandé d’appliquer les correctifs proposés par Microsoft. Soit en laissant l’outil Windows Update se charger de la mise à jour automatique ; soit en appliquant les correctifs manuellement en les téléchargeant à partir du Download Center selon les directives fournies sur TechNet.
crédit photo © Pavel Ignatov – shutterstock
Voir aussi
Quiz Silicon.fr – Imbattable sur le navigateur web Internet Explorer ?
Le voile est levé sur Oracle Code Assist. Présenté comme spécialisé en Java et SQL,…
EPEI, la société d'investissement de Daniel Kretinsky, a déposé une offre de reprise d'Atos. En…
Onepoint, l'actionnaire principal d'Atos, a déposé une offre de reprise du groupe. En voici quelques…
Broadcom a repris seul la main sur la vente de l'offre VMware d'AWS... qui, dans…
Microsoft expérimente, sous la marque ZTDNS, une implémentation des principes zero trust pour le trafic…
Accord de principe entre créanciers, propositions de reprise, discussions avec l'État... Le point sur le…