Microsoft : mises à jour critiques pour Windows, Internet Explorer et Office

Le par  |  1 commentaire(s)
patch parkinson

La firme de Redmond livre 11 mises à jour pour combler un total de 26 vulnérabilités de sécurité dans Windows, Internet Explorer, Office et .NET. Dans ce Patch Tuesday, il y a une 0-day.

Lors du Patch Tuesday de mars, Microsoft avait diffusé 14 mises à jour pour combler un total de 45 vulnérabilités affectant Windows, Internet Explorer, Office et Microsoft Exchange. C'est un petit peu mois pour ce mois d'avril mais il n'y a pas véritablement de répit.

Microsoft-logoPour ce mois-ci, c'est onze mises à jour et un total de 26 vulnérabilités de sécurité à corriger. Les produits concernés sont Windows, Internet Explorer, Office et .NET. Parmi les mises à jour, quatre sont considérées critiques.

La plus critique de toutes est MS15-033. Cela tient au fait que cette mise à jour pour Office propose une rustine pour une vulnérabilité divulguée publiquement (corruption de mémoire à distance) et pour laquelle une exploitation a été détectée. En l'occurrence, il s'agit d'attaques limitées ciblant Word 2010. Pour autant, MS15-033 s'adresse aussi à d'autres versions d'Office.

MS15-032 est une mise à jour critique pour Internet Explorer avec dans ses bagages la correction de dix vulnérabilités. Toutes les versions du navigateur sont concernées. De type exécution de code à distance, la presque totalité des failles ont été rapportées de manière confidentielle par Zero Day Initiative de HP qui est le sponsor du concours de hacking Pwn2Own.

Toutes les versions de Windows ont droit à la mise à jour critique MS15-035 afin de corriger une vulnérabilité dans le composant Microsoft Graphics. Le problème réside dans la manière dont Windows traite certains fichiers au format EMF (Enhanced Metafile ; format d'image) qui ont été spécialement conçus. Bien que critique, l'exploitation de cette vulnérabilité de code à distance ne semble pas simple.

La dernière mise à jour critique est MS15-034 qui corrige une vulnérabilité HTTP.sys pouvant permettre l'exécution de code à distance via l'envoi par un attaquant d'une requête HTTP spécialement conçue (une description assez vague). S'il n'y a pas d'exploit dans la nature, l'exploitation est considérée probable. La correction s'impose ainsi pour Windows 7 et 8, Windows Server 2008 R2 et 2012.

Ne reste plus qu'à patcher...

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1839550

pas dredi pas dredi dur dur l'milieu d'semaine
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]