C'est du lourd : Microsoft comble un nombre record de vulnérabilités pour IE

Le par  |  7 commentaire(s)
Pansement

Microsoft livre un gros Patch Tuesday de juin pour combler 66 vulnérabilités de sécurité dont 59 vulnérabilités distinctes pour Internet Explorer.

La firme de Redmond propose sept mises à jour de sécurité pour ce mois de juin dont deux critiques. Cette fournée mensuelle de correctifs vise à combler un total de 66 vulnérabilités dans Windows, Office, Live Meeting, Lync et surtout Internet Explorer.

Il est en effet question de record pour le navigateur de Microsoft avec pas moins de 59 vulnérabilités corrigées par le biais d'une unique mise à jour. Toutes les versions de IE6 à IE11 sont concernées. La mise à jour cumulative est critique sur les clients Windows et importante sur les serveurs Windows.

C'est donc du lourd pour IE même si une bonne nouvelle est que sur toutes les failles identifiées, seules deux ont fait l'objet d'une divulgation publique dont celle affectant IE8 qui a été éventée par ZDI de HP après sa politique de 180 jours de confidentialité.

Surtout, Microsoft prend bien soin de détailler qu'aucune vulnérabilité n'a fait l'objet d'une exploitation dans des attaques pour le moment. Mieux vaut en effet le préciser car annoncer 59 vulnérabilités pour IE… cela fait plutôt mauvais genre.

Dans le même temps, Microsoft recommande fortement aux utilisateurs de Windows 7 et Windows 8.1 de passer à IE11, soit la dernière version disponible du navigateur. À chaque nouvelle version, des protections de sécurité sont ajoutées nativement dans IE :

IE-ajout-protection-securite
Pour autant, cela n'empêche pas de constater que IE11 a aujourd'hui droit à 47 patchs alors que c'est moitié moins pour IE8. De quoi brouiller un tantinet le message que veut faire passer Microsoft. Manifestement, les découvreurs de failles sont prolifiques, probablement aidés par des outils de plus en plus sophistiqués. On peut aussi le constater avec Chrome. Ces dernières semaines, le nombre de corrections de sécurité pour le navigateur de Google a aussi pris un sérieux embonpoint.

Outre MS14-035 pour IE, l'autre mise à jour critique est MS14-036 qui corrige deux vulnérabilités d'exécution de code à distance - signalées confidentiellement et non exploitées - dans Windows, Office ( 2007 à 2010 ), Live Meeting 2007 et Lync ( 2010 et 2013 ). Le point commun entre ces produits est un problème au niveau du composant graphique GDI+ de Windows.

Mais contrairement à MS14-035, Microsoft ne considère pas que MS14-036 doit bénéficier d'un déploiement prioritaire. Si une autre priorité dans le déploiement doit être donnée, c'est pour la mise à jour MS14-034 à destination de Word 2007. La vulnérabilité corrigée est donc dangereuse mais considérée non critique dans la mesure où l'interaction de l'utilisateur est nécessaire pour une exploitation ( ouverture d'un fichier spécialement conçu ).

Microsoft-Patch-Tuesday-juin-2014
Rappelons par ailleurs une nouvelle fois que les utilisateurs de Windows 8.1 ( les particuliers et petites entreprises n'ayant pas recours à WSUS ) doivent appliquer la mise du système d'exploitation proposée depuis avril ( Windows 8.1 Update ) s'ils veulent recevoir les mises à jour de sécurité.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1762152
Pas de panique, la chasse aux pigeons reste ouverte. Et puis, 1 faille disparue c'est 10 failles à venir.
Le #1762342
ils ont le mérite de corriger les failles plutot que de les laisser ouverte pendant des années comme le fait apple... Après c'est une question de point de vu
Le #1762492
charlyd57 a écrit :

ils ont le mérite de corriger les failles plutot que de les laisser ouverte pendant des années comme le fait apple... Après c'est une question de point de vu


Je ne connais pas de failles Apple restées ouvertes pendant des années.
Le #1762772
charlyd57>t'es sûr que tu te gourres pas ???

IE8 date quand même de 2009.......

5 ans pour combler 50 failles, c'est quand même pas super-glorieux...
Le #1762782
"Surtout, Microsoft prend bien soin de détailler qu'aucune vulnérabilité n'a fait l'objet d'une exploitation dans des attaques pour le moment. "

Euh ils ont connaissances de toutes les attaques qui ont lieu partout dans le monde chez M$ ??? En même temps, ça serait rigolo que ce soit le cas, autant pour la vie privée des utilisateurs (ça voudrait dire qu'ils surveillent toutes les actions faites sur toutes les machines utilisant leurs OS) que comme preuve de leur efficacité (s'ils ont accès à ce type d'information, alors corriger 500 bugs par jour serait le minimum !!!)
Le #1763242
Je suis tout surpris qu'on parle pas de XP :-)

Éliminer IE c'est éliminer 99% des vulnérabilités. J'imagine.


Le #1763332

//Éliminer IE c'est éliminer 99% des vulnérabilités. J'imagine.//

ça plus winX,ça nous fait les 100%


fait bon dehors
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]