Microsoft : mises à jour critiques pour Windows 10 et Edge

Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

Actualités Microsoft : mises à jour critiques pour Windows 10 et Edge

Publié le 09 septembre 2015 à 09:40 par Jérôme G.

Lire sur mobile

La firme de Redmond diffuse une fournée de patchs de sécurité. Douze mises à jour dont cinq critiques. Windows 10 et Microsoft Edge ne sont pas épargnés par le biais d'une seule mise à jour cumulative.

Le Patch Tuesday de septembre est disponible. Microsoft livre 12 mises à jour de sécurité afin de combler des vulnérabilités dans Windows, Microsoft Edge, Internet Explorer, Office, Exchange, .NET Framework, Lync et Skype for Business. Au total, 55 vulnérabilités sont corrigées. Parmi les mises à jour, cinq sont critiques.

Toutes les versions d'Internet Explorer sont concernées par une mise à jour critique MS15-094 en raison de 17 bugs de sécurité (14 sont critiques) dont la majorité permet une exécution de code à distance lors de la consultation d'un site Web spécialement conçu. Seule une vulnérabilité a été divulguée publiquement mais ne semble pas encore exploitée dans des attaques. Elle affecte IE10 et IE11, en rappelant que IE11 est aussi présent dans Windows 10.

MS15-095 est une mise à jour classée critique pour Microsoft Edge qui est le navigateur par défaut dans Windows 10. Quatre vulnérabilités permettent une exécution de code à distance dont une divulguée publiquement. Ce sont en fait quatre failles partagées avec l'ancien navigateur Internet Explorer.

On soulignera donc 17 vulnérabilités pour Internet Explorer mais 4 pour Microsoft Edge. C'est un signe tangible qu'en dépit d'un socle commun de code, le nouveau navigateur tend bel et bien à être davantage sécurisé.

MS15-098 est une mise à jour critique pour toutes les versions de Windows, ce qui comprend Windows 10. Quatre vulnérabilités d'exécution de code à distance peuvent être exploitées si un utilisateur ouvre un fichier Journal (le Journal Windows) spécialement conçu. Néanmoins, il n'y a pas eu de divulgation publique et pas de rapport d'attaque.

Onze vulnérabilités sont corrigées avec la mise à jour MS15-097 pour Windows, Office et Lync. Elle sont en rapport avec le composant Microsoft Graphics. Le niveau critique ne vaut cependant que pour Windows Vista et Server 2008, Lync 2010 et 2013, Live Meeting 2007 ainsi que Office 2007 et 2010. Dans cette mise à jour, on trouve un patch pour la seule vulnérabilité du Patch Tuesday qui est actuellement exploitée dans des attaques.

La dernière mise à jour critique est MS15-099 pour des vulnérabilités d'exécution de code à distance dans Office. Le niveau critique est valable pour Office 2007, 2010, 2013 et 2013 RT.

À noter qu'il n'y a plus formellement de Patch Tuesday pour Windows 10. Ce dernier a en fait droit à une mise à jour cumulative KB3081455 qui contient les mises à jour de sécurité MS15-094, MS15-095, MS15-097, MS15-098, MS15-101, MS15-102 et MS15-105.