Avec le deuxième mardi du mois, Microsoft et Adobe livrent une flopée de patchs pour corriger des vulnérabilités de sécurité affectant divers de leurs produits. Un total de 54 vulnérabilités comblées du côté de Microsoft et 86 pour Adobe, d'après le décompte de Zero Day Initiative.

Microsoft-logo Les mises à jour de Microsoft concernent Windows, Office, Microsoft Edge, Internet Explorer, ASP.NET, .NET Core et Chakra Core (moteur de navigation). Une vingtaine de failles sont critiques. Elles touchent les navigateurs de Microsoft et les moteurs de script.

Si aucune exploitation active des attaques n'est signalée, quatre vulnérabilités (non critiques) ont fait l'objet d'une divulgation publique. Pour Microsoft Edge, Internet Explorer et ASP.NET. Qualys souligne par ailleurs qu'il existe une preuve de concept en circulation pour une vulnérabilité d'exécution de code à distance touchant Office.

On se souviendra que le mois dernier, Microsoft avait corrigé en toute discrétion les failles KRACK affectant le protocole de sécurité Wi-Fi WPA2. Cela n'avait été évoqué qu'ultérieurement, après la divulgation publique.

Les mises à jour d'Adobe concernent Flash Player, Photoshop CC, Connect, Acrobat et Reader, DNG Converter, InDesign CC, Digital Editions, Shockwave Player et Adobe Experience Manager.

Pour le cas de Flash Player, il est question de cinq vulnérabilités critiques d'exécution de code à distance. Le plugin salvateur est en version 27.0.0.187. Pour Acrobat et Reader, ce sont 62 vulnérabilités qui sont corrigées.