Microsoft minore Badlock et corrige Flash Player sans urgence

Le par Jérôme G.  |  4 commentaire(s)
Badlock

La firme de Redmond livre 13 bulletins de sécurité pour ce mois d'avril dont 6 critiques. La vulnérabilité Badlock est comblée mais elle n'est pas considérée critique. Le composant Flash Player dans IE10 / 11 et Microsoft Edge est également corrigé après l'urgence de la semaine dernière.

L'heure du Patch Tuesday du mois d'avril a sonné pour Microsoft. Au programme, 13 mises à jour de sécurité pour corriger au total près d'une trentaine de vulnérabilités affectant des produits comme Windows, Microsoft Edge, Internet Explorer ou encore d'anciennes versions d'Office. Parmi ces mises à jour, 6 sont considérées critiques.

PansementCe n'est toutefois pas le cas de MS16-047 qui corrige une vulnérabilité dans Windows. Ce patch était très attendu par les administrateurs après un buzz autour d'une vulnérabilité au petit nom de Badlock. Sauf que pour Microsoft, ladite faille n'est pas aussi dangereuse qu'ils pouvaient le penser.

Badlock est une vulnérabilité qui concerne Samba (implémentation libre du protocole SMB de Microsoft) et Windows. Elle avait été annoncée comme " cruciale ", ce qui n'est manifestement pas l'avis de Microsoft pour qui elle affecte les applications utilisant les protocoles SAM ou LSAD mais pas SMB lui-même. Elle est cataloguée en tant que vulnérabilité de type élévation de privilèges et pour une exploitation locale.

De manière plus étonnante, Microsoft a par contre attendu le jour de son Patch Tuesday pour mettre à jour le composant Flash Player présent par défaut dans ses navigateurs Internet Explorer 10 et 11, ainsi que Microsoft Edge. Adobe avait pourtant publié une mise à jour de sécurité en urgence la semaine dernière, dont pour une vulnérabilité exploitée dans des attaques par ransomware. Cette faille référencée CVE-2016-1019 est bel et bien concernée par la mise à jour de Microsoft d'aujourd'hui (M16-050).

Hormis le cas de Flash Player, qui dépend après tout davantage d'Adobe, on notera que la mise à jour critique MS16-039 fait référence à deux 0-day. Autrement dit, des exploitations avant la disponibilité du correctif idoine. Relative au composant Microsoft Graphics, la mise à jour s'applique à toutes les versions de Windows, ainsi qu'à Office 2007 à 2010, .NET, Skype et Lync.

Le contenu détaillé du Patch Tuesday d'avril est disponible ici.

  • Partager ce contenu :
Complément d'information

Vos commentaires

Trier par : date / pertinence
Safirion offline Hors ligne VIP icone 40374 points
Le #1889841
Hm, pas cool pour flash en effet
Anonyme
Le #1889881
Je suis agréablement surpris par Office 2016 qui semble moins troué que ses prédécesseurs
kerlutinoec offline Hors ligne VIP icone 13506 points
Le #1889891
Encore Flash !
dan4 offline Hors ligne VIP icone 5309 points
Le #1890121
Ça fait des Flash back!
icone Suivre les commentaires
Poster un commentaire