Pour gérer vos consentements :

Sécurité Microsoft : un Patch Tuesday presque serein en novembre

Avec « seulement » 53 vulnérabilités corrigées, le bulletin de sécurité de Microsoft retrouve une certaine sérénité en novembre. Et tout cas, par rapport aux deux mois précédents (septembre et octobre) .

Néanmoins, près de la moitié (25) des failles du nouveau Security Update (ex-patch tuesday) permettent l’exécution de code à distance sur une machine faillible.

Si Windows bénéficie de 14 correctifs, la majorité des patchs est appliquée aux navigateurs Edge et Internet Explorer (9, 10 et 11). La suite Office est également updatée.

Les solutions Adobe ne sont pas en reste : à travers 9 correctifs, Microsoft colmate pas moins de 62 vulnérabilités touchant Acrobat et son lecteur média.

Aucune campagne d’attaque aujourd’hui

Selon Microsoft, aucune des vulnérabilités corrigées aujourd’hui n’est activement exploitée. Pourtant, des méthodes d’attaques sont publiquement disponibles pour les CVE-2017-11848, CVE-2017-11827, CVE-2017-11883, CVE-2017-8700. Mais aucune campagne d’attaque massive n’est à déplorer aujourd’hui.

Les entreprises qui utilisent toujours Edge et IE auront intérêts à appliquer les correctifs relatifs aux failles CVE-2017-11836, CVE-2017-11837, CVE-2017-11838, CVE-2017-11839, CVE-2017-11871, et CVE-2017-11873 qui touche le moteur de script (Scripting Engine) des navigateurs.

Particulièrement si les utilisateurs disposent de privilèges administrateurs alors que, exploitables depuis une page Web infectieuse ou un fichier corrompu, l’exploitation des failles ouvre la possibilité d’exécuter du code à distance.

Pas de faille critique pour Windows

Si aucune brèche critique ne touche les environnements Windows ce mois-ci, le fournisseur de services de sécurité Qualys recommande néanmoins de se concentrer sur les CVE-2017-11830 et CVE-2017-11847 qui permettent respectivement de contourner des mesures de sécurité et des élévations de privilèges utilisateur.

La même attention sera portée sur la CVE-2017-11882 qui touche Office. Si Microsoft la classe comme seulement Important, « il peut y avoir du code POC (prototype, NDLR) pour cette vulnérabilité », note Qualys.


Lire également

Microsoft renforce la sécurité d’Outlook pour les utilisateurs d’Office 365
Sécurité : Microsoft Essentiel, le pire des antivirus
Sécurité : Microsoft automatise la recherche de bugs

Crédit photo © kalhh via Pixabay

Recent Posts

Quels sentiments animent la communauté OpenAI ?

Le contenu du forum officiel de la communauté OpenAI donne des indications sur les points…

4 minutes ago

Emmanuelle Olivié-Paul — AdVaes : « Le premier enjeu du scope 3 c’est d’avoir les données pour faire une évaluation »

Dans une interview accordée à Silicon, Emmanuelle Olivié-Paul, présidente-fondatrice du cabinet de market intelligence AdVaes,…

30 minutes ago

Étude Trends of IT 2024 : comprendre les mutations de l’environnement IT

Silicon et KPMG lancent Trends of IT 2024, une étude co-construite avec les managers IT…

17 heures ago

Guillaume Poupard, DGA de Docaposte : « Le plus de l’offre, c’est notre position comme acteur de confiance »

Avec son Pack cybersécurité lancé au Forum InCyber 2024, Docaposte tend une perche aux PME.…

18 heures ago

Quels impacts de l’IA générative sur le monde de la cybersécurité ? : regards croisés entre Onepoint, Wavestone et Fortinet

Quels sont les impacts immédiats de l'IA générative sur la cybersécurité ? Comment le contexte…

21 heures ago

Des serveurs IA cyberattaqués : le vecteur s’appelle Ray

Un éditeur attire l'attention sur des attaques exploitant l'absence d'autorisation dans une API du framework…

1 jour ago