Avec « seulement » 53 vulnérabilités corrigées, le bulletin de sécurité de Microsoft retrouve une certaine sérénité en novembre. Et tout cas, par rapport aux deux mois précédents (septembre et octobre) .
Néanmoins, près de la moitié (25) des failles du nouveau Security Update (ex-patch tuesday) permettent l’exécution de code à distance sur une machine faillible.
Si Windows bénéficie de 14 correctifs, la majorité des patchs est appliquée aux navigateurs Edge et Internet Explorer (9, 10 et 11). La suite Office est également updatée.
Les solutions Adobe ne sont pas en reste : à travers 9 correctifs, Microsoft colmate pas moins de 62 vulnérabilités touchant Acrobat et son lecteur média.
Selon Microsoft, aucune des vulnérabilités corrigées aujourd’hui n’est activement exploitée. Pourtant, des méthodes d’attaques sont publiquement disponibles pour les CVE-2017-11848, CVE-2017-11827, CVE-2017-11883, CVE-2017-8700. Mais aucune campagne d’attaque massive n’est à déplorer aujourd’hui.
Les entreprises qui utilisent toujours Edge et IE auront intérêts à appliquer les correctifs relatifs aux failles CVE-2017-11836, CVE-2017-11837, CVE-2017-11838, CVE-2017-11839, CVE-2017-11871, et CVE-2017-11873 qui touche le moteur de script (Scripting Engine) des navigateurs.
Particulièrement si les utilisateurs disposent de privilèges administrateurs alors que, exploitables depuis une page Web infectieuse ou un fichier corrompu, l’exploitation des failles ouvre la possibilité d’exécuter du code à distance.
Si aucune brèche critique ne touche les environnements Windows ce mois-ci, le fournisseur de services de sécurité Qualys recommande néanmoins de se concentrer sur les CVE-2017-11830 et CVE-2017-11847 qui permettent respectivement de contourner des mesures de sécurité et des élévations de privilèges utilisateur.
La même attention sera portée sur la CVE-2017-11882 qui touche Office. Si Microsoft la classe comme seulement Important, « il peut y avoir du code POC (prototype, NDLR) pour cette vulnérabilité », note Qualys.
Lire également
Microsoft renforce la sécurité d’Outlook pour les utilisateurs d’Office 365
Sécurité : Microsoft Essentiel, le pire des antivirus
Sécurité : Microsoft automatise la recherche de bugs
Le support Rust for Linux pourrait être prêt pour la version 5.20 du noyau Linux,…
Le Clusif a listé 23 référentiels pour traiter le sujet de la sécurité dans le…
Malgré des avancées, la diversification des embauches et l'équité salariale progressent lentement dans les technologies…
Primes, capacités, franchises, indemnisations... Coup de projecteur sur quelques aspects du marché français de l'assurance…
Dans la lignée du passage de GitHub Copilot en phase commerciale, CodeWhisperer, son concurrent made…
Zscaler renforce les capacités d'intelligence artificielle de sa plateforme de sécurité Zero Trust Exchange, de…