Dans le cadre du Patch Tuesday, Microsoft a livré sa dernière fournée mensuelle de rustines de sécurité pour 2013. C'est plutôt copieux avec un total de 24 vulnérabilités qui sont comblées via onze bulletins de sécurité.

Microsoft-Patch-Tuesday-decembre-2013 Ceux-ci couvrent Windows, Internet Explorer, Office et Exchange. Cinq sont considérés critiques par Microsoft et les six autres sont étiquetés importants. Pour les déploiements prioritaires, la firme de Redmond met particulièrement l'accent sur trois mises à jour.

MS13-096 corrige une vulnérabilité qui a fait l'objet d'une divulgation publique. Parmi les principaux logiciels affectés, Windows Vista et Server 2008, Office 2003 à 2010. Il s'agit de la faille dont l'exploitation permet une exécution de code à distance via l'affichage d'un contenu avec des fichiers TIFF spécialement conçus.

MS13-097 corrige sept vulnérabilités signalées de manière confidentielle dans Internet Explorer et ce pour toutes les versions du navigateur, soit de IE6 à IE11. La plus critique permet une exécution de code à distance lors de la consultation d'une page Web spécialement conçue. Cette année, Internet Explorer aura eu droit à des mises à jour quasiment tous les mois mais c'est finalement un rythme similaire à celui pour Chrome ou Firefox. Le plus embêtant est que IE fait fréquemment l'objet d'attaques.

MS13-099 corrige une vulnérabilité d'exécution de code à distance affectant toutes les versions de Windows, de XP à 8.1 en passant par RT. Elle a été signalée confidentiellement et se situe au niveau de la fonctionnalité Windows Script. Elle est exploitable via un script VBA.

Il n'y a par contre pas de bulletin de sécurité pour la faille dans le composant NDProxy du noyau Windows qui est exploitée dans des attaques ciblant Windows XP. C'est toutefois une vulnérabilité d'élévation de privilège qui ne permet pas une exécution de code à distance. Qui plus est, les attaques dépendent d'une deuxième vulnérabilité impliquant des versions non à jour d'Adobe Reader lors de l'ouverture d'un fichier PDF.

Le Patch Tuesday de décembre s'arrête à MS13-106. Cela signifie donc que Microsoft aura diffusé 106 bulletins de sécurité en 2013. D'après les comptes du directeur technique de Qualys, ce sont plus de 330 vulnérabilités qui ont ainsi été comblées.


Pour Flash Player aussi
À noter qu'Adobe publie également une mise à jour de sécurité pour Flash Player pour au moins deux vulnérabilités critiques. Adobe rapporte l'existence d'un exploit conçu pour tromper l'utilisateur et l'inciter à ouvrir un document Word avec un fichier Flash (.swf) malveillant.

Avec Internet Explorer 10 et 11 sur Windows 8.x ainsi que Google Chrome, une nouvelle version de Flash Player est mise à jour automatiquement dans la mesure où ces navigateurs intègrent leur propre version de Flash. Sinon, il est possible de connaître sa version de Flash Player installée en se rendant sur cette page.