Patch Tuesday de novembre : Microsoft corrige une faille zero day

vulnérabilité, faille sécurité

En novembre, Microsoft corrige près d’une vingtaine de vulnérabilités logicielles et Windows, dont une faille « zero day ». L’application des correctifs est vivement recommandée.

Pas moins de huit correctifs (de MS13-088 à MS13-095) corrigeant 19 failles accompagnent le bulletin de sécurité, le patch tuesday, de Microsoft en novembre. Trois correctifs sont classés comme « critiques ». Autrement dit, ils permettent l’exécution de code à distance avec prise de contrôle de la machine avec les droits administrateurs.

Faille zero day dans IE

Parmi celle-ci, une vulnérabilité zero day, donc publique et aujourd’hui exploitable, affecte un contrôle Active X (InformationCardSigninHelper Class) d’Internet Explorer. Une faille zero day dont Microsoft avait confirmé l’existence lors de la communication précédant le patch tuesday, vendredi dernier. Il faut néanmoins que l’utilisateur affiche une page Web spécialement conçue pour se voir affecté par la brèche de sécurité. « Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d’impact que ceux qui possèdent des privilèges d’administrateur », souligne par ailleurs l’éditeur.

Les quatre autres bulletins sont classés comme « importants ». Ils corrigent des vulnérabilités qui présentent des risques d’élévation de privilèges, de divulgation d’informations, de déni de service mais aussi d’exécution de code distant.

IE, Office, Outlook et Windows affectés

Internet Explorer (versions 6 à 11) mais aussi Office (de 2003 à 2013) et Outlook (2007 SP3 à 2013) sont affectés. Windows est également concerné depuis XP Service Pack 3 à Windows 8 et 8.1, tant sur plate-forme x86 que ARM (Windows RT) et en éditions 32 comme 64 bits. Les versions serveurs (2003, 2008, y compris pour Itanium, 2008 R2 et 2012) sont également concernées par ces mises à jour critiques et importantes.

Il est donc vivement recommandé d’appliquer les correctifs proposés par Microsoft. Soit en laissant l’outil Windows Update se charger de la mise à jour automatique ; soit en appliquant les correctifs manuellement en les téléchargeant à partir du Download Center selon les directives fournies sur TechNet.

Patch Tuesday novembre 2013

crédit photo © Pavel Ignatov - shutterstock


Voir aussi
Quiz Silicon.fr – Imbattable sur le navigateur web Internet Explorer ?