Microsoft publie moins de bulletins de sécurité pour son Patch Tuesday d'avril
Et modifie la cadence des publications de mises à jour pour Office

Le , par Stéphane le calme, Chroniqueur Actualités
Microsoft a publié son traditionnel Patch Tuesday qui s’est avéré moins fourni en nombre de bulletins que le dernier en date. Le bulletin critique MS16-039 vient colmater une faille dans Windows (à partir de Windows Vista), Microsoft .NET Framework, Microsoft Office (la version 2007 et 2010), Skype for Business (l’édition 2016) et Microsoft Lync (l’édition 2013) qui permettait à un pirate d’installer un programme à distance, d’avoir accès à des données et de créer des comptes utilisateurs avec tous les privilèges. La vulnérabilité a été colmatée en modifiant la façon dont la bibliothèque de police Windows gère les polices incorporées.

Microsoft a également colmaté la faille Badlock, qui a été marquée comme étant importante dans le bulletin de sécurité MS16-047. Pour rappel, cette vulnérabilité pourrait permettre une élévation de privilèges si un attaquant lançait une attaque de l'intercepteur. Un attaquant pourrait alors forcer le passage à une version antérieure du niveau d'authentification du canal RPC et emprunter l'identité d'un utilisateur authentifié. Elle concerne particulièrement les Windows Server qui exécutent Samba. Précisons que cette faille affecte également Linux et que Josh Bressers, stratégiste sécurité chez Red Hat, l’une des distributions Linux affectées par cette faille, a déclaré que Badlock est « l'un des exploits les plus dangereux potentiellement qui a été identifié et corrigé par une communauté open source ».

Deux correctifs cumulés séparés ont également été fournis pour Internet Explorer et Microsoft Edge, respectivement le bulletin MS16-037 et MS16-038. Du côté d’Internet Explorer, un attaquant qui parviendrait à exploiter ces vulnérabilités pourrait obtenir les mêmes droits que l'utilisateur actuel. Si l'utilisateur actuel est connecté avec des privilèges d'administrateur, un attaquant pourrait prendre le contrôle d'un système concerné. L'attaquant pourrait alors installer des programmes, afficher, modifier ou supprimer des données, ou créer des comptes dotés de tous les privilèges. Elle a été catégorisée comme étant « critique » pour Internet Explorer 9 (IE 9) et Internet Explorer 11 (IE 11) sur les clients Windows concernés, et de niveau « modéré » pour Internet Explorer 9 (IE 9), Internet Explorer 10 (IE 10) et Internet Explorer 11 (IE 11) sur les serveurs Windows concernés. Même son de cloche pour Microsoft Edge.

Le bulletin MS16-050, classé parmi les bulletins critiques, vient colmater des vulnérabilités dans Adobe Flash Player sur toutes les éditions prises en charge de Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows RT 8.1 et Windows 10 en mettant à jour les bibliothèques Adobe Flash concernées contenues dans Internet Explorer 10, Internet Explorer 11 et Microsoft Edge.

Il faut noter que certains utilisateurs d’Office vont avoir quelques surprises : Microsoft a décidé de consacrer un autre mardi à la publication des patchs pour Office. À compter de ce mois, les utilisateurs qui ont choisi la version MSI d’Office (qui représente la version de base) peuvent avoir accès au Patch Tuesday Office le premier mardi du mois (contre le second mardi pour le Patch Tuesday traditionnel). Les mises à jour sont déployées via Windows Update et Windows Server Update Service (WSUS). Précisons que dans l’annonce officielle, Microsoft a expliqué que les correctifs qui sont proposés sont classés comme étant « critiques » ou « de définition ». Les mises à jour qui sont classées dans sa catégorie « sécurité » quant à elles continueront d'être proposées le deuxième mardi de chaque mois.

Pour les utilisateurs qui ont choisi la version click-to-run d’Office, qui est facturée par utilisateur et non par terminal, ils continueront de bénéficier des mises à jour de sécurité pendant le Patch Tuesday conventionnel.

Source : annonce officielle des mises à jour Office, bulletins de sécurité du dernier Patch Tuesday, méthodes de déploiement pour Office 2013


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :
Contacter le responsable de la rubrique Accueil