Il n'y a pas eu de trêve pour le Patch Tuesday de novembre. Microsoft a publié douze mises à jour de sécurité afin de combler au total une cinquantaine de vulnérabilités affectant Windows, Internet Explorer, Microsoft Edge, .NET, Lync ou encore Skype for Business. Parmi ces mises à jour, quatre sont considérées critiques.

" Nous publions des mises à jour de sécurité pour fournir des protections contre des attaquants malveillants. Comme meilleure pratique, nous encourageons les clients à appliquer les mises à jour de sécurité dès qu'elles sont publiées ", écrit Microsoft.

Une sorte de routine mensuelle qui n'est ainsi pas à négliger. La bonne nouvelle est que Microsoft ne mentionne pas la détection d'un code d'exploitation fonctionnel pour l'une des vulnérabilités. Mais ce n'est souvent qu'une affaire de temps.

Une des mises à jour prioritaires (MS15-112) concerne Internet Explorer avec pour lui seul 25 vulnérabilités à combler dont 23 critiques. Une autre mise à jour critique est à destination de Microsoft Edge qui est le successeur d'Internet Explorer dans Windows 10. Sauf que pour Microsoft Edge, il est question de 4 vulnérabilités (dont 3 critiques) avec MS15-113.

Pour Wolfgang Kandek, le directeur technique de Qualys, Microsoft Edge est " nettement plus sûr qu'Internet Explorer ". La confrontation du nombre de vulnérabilités ayant touché ces deux navigateurs au cours des derniers mois est pour le moins éloquente :

Qualys-IE-vs-Edge-nombre-vulnerabilites

MS15-115 corrige sept vulnérabilités dans Windows. Parmi celles-ci, deux vulnérabilités sont dans le sous-système pour la gestion des polices de caractères intégrées, et exploitables via une navigation Web et un email piégé. Elles touchent toutes les versions de Windows.

Ce n'est par contre pas le cas avec la dernière mise à jour critique MS15-114, qui corrige une vulnérabilité pour le Journal Windows, et où sont concernés Windows Vista, Windows 7, Windows Server 2008 et 2008 R2.

En plus des patchs de Microsoft, Adobe a également publié une mise à jour de Flash Player (et Adobe AIR) qui corrige 17 vulnérabilités de sécurité. Adobe n'a pas connaissance d'une exploitation active pour le moment.

Récemment, une analyse de Recorded Future a montré que Flash Player compte pour 8 des 10 principales vulnérabilités utilisées dans des kits d'exploits en 2015. Cela prouve que le premier réflexe des cybercriminels est d'attaquer des versions non à jour de Flash Player (voire parfois via des 0-day où il n'y a pas de patch existant).

Recorded-Future

Pour vérifier si sa version de Flash Player est à jour, il suffit de se rendre sur cette page. Avec IE10 et 11 pour Windows 8 et 8.1, ainsi que Microsoft Edge pour Windows 10, la mise à jour du plugin Flash Player intégré par défaut se fait avec celle du navigateur. De même avec Google Chrome.

Flash-Player Versions de Flash Player à jour