Pour gérer vos consentements :

Sécurité Microsoft : un Patch Tuesday presque serein en novembre

Avec « seulement » 53 vulnérabilités corrigées, le bulletin de sécurité de Microsoft retrouve une certaine sérénité en novembre. Et tout cas, par rapport aux deux mois précédents (septembre et octobre) .

Néanmoins, près de la moitié (25) des failles du nouveau Security Update (ex-patch tuesday) permettent l’exécution de code à distance sur une machine faillible.

Si Windows bénéficie de 14 correctifs, la majorité des patchs est appliquée aux navigateurs Edge et Internet Explorer (9, 10 et 11). La suite Office est également updatée.

Les solutions Adobe ne sont pas en reste : à travers 9 correctifs, Microsoft colmate pas moins de 62 vulnérabilités touchant Acrobat et son lecteur média.

Aucune campagne d’attaque aujourd’hui

Selon Microsoft, aucune des vulnérabilités corrigées aujourd’hui n’est activement exploitée. Pourtant, des méthodes d’attaques sont publiquement disponibles pour les CVE-2017-11848, CVE-2017-11827, CVE-2017-11883, CVE-2017-8700. Mais aucune campagne d’attaque massive n’est à déplorer aujourd’hui.

Les entreprises qui utilisent toujours Edge et IE auront intérêts à appliquer les correctifs relatifs aux failles CVE-2017-11836, CVE-2017-11837, CVE-2017-11838, CVE-2017-11839, CVE-2017-11871, et CVE-2017-11873 qui touche le moteur de script (Scripting Engine) des navigateurs.

Particulièrement si les utilisateurs disposent de privilèges administrateurs alors que, exploitables depuis une page Web infectieuse ou un fichier corrompu, l’exploitation des failles ouvre la possibilité d’exécuter du code à distance.

Pas de faille critique pour Windows

Si aucune brèche critique ne touche les environnements Windows ce mois-ci, le fournisseur de services de sécurité Qualys recommande néanmoins de se concentrer sur les CVE-2017-11830 et CVE-2017-11847 qui permettent respectivement de contourner des mesures de sécurité et des élévations de privilèges utilisateur.

La même attention sera portée sur la CVE-2017-11882 qui touche Office. Si Microsoft la classe comme seulement Important, « il peut y avoir du code POC (prototype, NDLR) pour cette vulnérabilité », note Qualys.


Lire également

Microsoft renforce la sécurité d’Outlook pour les utilisateurs d’Office 365
Sécurité : Microsoft Essentiel, le pire des antivirus
Sécurité : Microsoft automatise la recherche de bugs

Crédit photo © kalhh via Pixabay

Recent Posts

Noyau Linux : Rust fusionné demain (ou presque)

Le support Rust for Linux pourrait être prêt pour la version 5.20 du noyau Linux,…

15 heures ago

Cloud et sécurité : les référentiels-clés selon le Clusif

Le Clusif a listé 23 référentiels pour traiter le sujet de la sécurité dans le…

15 heures ago

Tech : une équité salariale contrariée

Malgré des avancées, la diversification des embauches et l'équité salariale progressent lentement dans les technologies…

18 heures ago

Assurance cyber : le marché français en 9 chiffres

Primes, capacités, franchises, indemnisations... Coup de projecteur sur quelques aspects du marché français de l'assurance…

19 heures ago

CodeWhisperer : AWS a aussi son « IA qui code »

Dans la lignée du passage de GitHub Copilot en phase commerciale, CodeWhisperer, son concurrent made…

22 heures ago

Zscaler met plus d’intelligence dans la sécurité Zero Trust

Zscaler renforce les capacités d'intelligence artificielle de sa plateforme de sécurité Zero Trust Exchange, de…

2 jours ago