Avec « seulement » 53 vulnérabilités corrigées, le bulletin de sécurité de Microsoft retrouve une certaine sérénité en novembre. Et tout cas, par rapport aux deux mois précédents (septembre et octobre) .
Néanmoins, près de la moitié (25) des failles du nouveau Security Update (ex-patch tuesday) permettent l’exécution de code à distance sur une machine faillible.
Si Windows bénéficie de 14 correctifs, la majorité des patchs est appliquée aux navigateurs Edge et Internet Explorer (9, 10 et 11). La suite Office est également updatée.
Les solutions Adobe ne sont pas en reste : à travers 9 correctifs, Microsoft colmate pas moins de 62 vulnérabilités touchant Acrobat et son lecteur média.
Selon Microsoft, aucune des vulnérabilités corrigées aujourd’hui n’est activement exploitée. Pourtant, des méthodes d’attaques sont publiquement disponibles pour les CVE-2017-11848, CVE-2017-11827, CVE-2017-11883, CVE-2017-8700. Mais aucune campagne d’attaque massive n’est à déplorer aujourd’hui.
Les entreprises qui utilisent toujours Edge et IE auront intérêts à appliquer les correctifs relatifs aux failles CVE-2017-11836, CVE-2017-11837, CVE-2017-11838, CVE-2017-11839, CVE-2017-11871, et CVE-2017-11873 qui touche le moteur de script (Scripting Engine) des navigateurs.
Particulièrement si les utilisateurs disposent de privilèges administrateurs alors que, exploitables depuis une page Web infectieuse ou un fichier corrompu, l’exploitation des failles ouvre la possibilité d’exécuter du code à distance.
Si aucune brèche critique ne touche les environnements Windows ce mois-ci, le fournisseur de services de sécurité Qualys recommande néanmoins de se concentrer sur les CVE-2017-11830 et CVE-2017-11847 qui permettent respectivement de contourner des mesures de sécurité et des élévations de privilèges utilisateur.
La même attention sera portée sur la CVE-2017-11882 qui touche Office. Si Microsoft la classe comme seulement Important, « il peut y avoir du code POC (prototype, NDLR) pour cette vulnérabilité », note Qualys.
Lire également
Microsoft renforce la sécurité d’Outlook pour les utilisateurs d’Office 365
Sécurité : Microsoft Essentiel, le pire des antivirus
Sécurité : Microsoft automatise la recherche de bugs
Comment gérer les données numériques après la mort de son détenteur ? La jeune pousse…
Ivès, expert en accessibilité de la surdité, s’est associé à Sopra Steria et à IBM…
L'Autorité de la concurrence et des marchés (CMA) a lancé la phase de recherche de…
Broadcom remplace pas moins de 168 logiciels VMware par deux grandes licences de location correspondant…
La banque d’investissement utilise l'IA pour proposer des stratégies individualisées, en termes de rendement et…
OVHCloud partage ses efforts environnementaux au sommet de l’Open Compute Project qui se tient à…