Microsoft minore Badlock et corrige Flash Player sans urgence

Le par  |  4 commentaire(s)
Badlock

La firme de Redmond livre 13 bulletins de sécurité pour ce mois d'avril dont 6 critiques. La vulnérabilité Badlock est comblée mais elle n'est pas considérée critique. Le composant Flash Player dans IE10 / 11 et Microsoft Edge est également corrigé après l'urgence de la semaine dernière.

L'heure du Patch Tuesday du mois d'avril a sonné pour Microsoft. Au programme, 13 mises à jour de sécurité pour corriger au total près d'une trentaine de vulnérabilités affectant des produits comme Windows, Microsoft Edge, Internet Explorer ou encore d'anciennes versions d'Office. Parmi ces mises à jour, 6 sont considérées critiques.

PansementCe n'est toutefois pas le cas de MS16-047 qui corrige une vulnérabilité dans Windows. Ce patch était très attendu par les administrateurs après un buzz autour d'une vulnérabilité au petit nom de Badlock. Sauf que pour Microsoft, ladite faille n'est pas aussi dangereuse qu'ils pouvaient le penser.

Badlock est une vulnérabilité qui concerne Samba (implémentation libre du protocole SMB de Microsoft) et Windows. Elle avait été annoncée comme " cruciale ", ce qui n'est manifestement pas l'avis de Microsoft pour qui elle affecte les applications utilisant les protocoles SAM ou LSAD mais pas SMB lui-même. Elle est cataloguée en tant que vulnérabilité de type élévation de privilèges et pour une exploitation locale.

De manière plus étonnante, Microsoft a par contre attendu le jour de son Patch Tuesday pour mettre à jour le composant Flash Player présent par défaut dans ses navigateurs Internet Explorer 10 et 11, ainsi que Microsoft Edge. Adobe avait pourtant publié une mise à jour de sécurité en urgence la semaine dernière, dont pour une vulnérabilité exploitée dans des attaques par ransomware. Cette faille référencée CVE-2016-1019 est bel et bien concernée par la mise à jour de Microsoft d'aujourd'hui (M16-050).

Hormis le cas de Flash Player, qui dépend après tout davantage d'Adobe, on notera que la mise à jour critique MS16-039 fait référence à deux 0-day. Autrement dit, des exploitations avant la disponibilité du correctif idoine. Relative au composant Microsoft Graphics, la mise à jour s'applique à toutes les versions de Windows, ainsi qu'à Office 2007 à 2010, .NET, Skype et Lync.

Le contenu détaillé du Patch Tuesday d'avril est disponible ici.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1889841
Hm, pas cool pour flash en effet
Le #1889881
Je suis agréablement surpris par Office 2016 qui semble moins troué que ses prédécesseurs
Le #1889891
Encore Flash !
Le #1890121
Ça fait des Flash back!
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]