Sécurité Microsoft : un Patch Tuesday presque serein en novembre
Publié par Christophe Lagane le | Mis à jour le
L'essentiel des 53 vulnérabilités uniques du bulletin de sécurité de novembre touchent les navigateurs de Microsoft. Et aucune n'est considérée comme critique pour Windows.
Avec « seulement » 53 vulnérabilités corrigées, le bulletin de sécurité de Microsoft retrouve une certaine sérénité en novembre. Et tout cas, par rapport aux deux mois précédents (septembre et octobre) .
Néanmoins, près de la moitié (25) des failles du nouveau Security Update (ex-patch tuesday) permettent l'exécution de code à distance sur une machine faillible.
Si Windows bénéficie de 14 correctifs, la majorité des patchs est appliquée aux navigateurs Edge et Internet Explorer (9, 10 et 11). La suite Office est également updatée.
Les solutions Adobe ne sont pas en reste : à travers 9 correctifs, Microsoft colmate pas moins de 62 vulnérabilités touchant Acrobat et son lecteur média.
Aucune campagne d'attaque aujourd'hui
Selon Microsoft, aucune des vulnérabilités corrigées aujourd'hui n'est activement exploitée. Pourtant, des méthodes d'attaques sont publiquement disponibles pour les CVE-2017-11848, CVE-2017-11827, CVE-2017-11883, CVE-2017-8700. Mais aucune campagne d'attaque massive n'est à déplorer aujourd'hui.
Les entreprises qui utilisent toujours Edge et IE auront intérêts à appliquer les correctifs relatifs aux failles CVE-2017-11836, CVE-2017-11837, CVE-2017-11838, CVE-2017-11839, CVE-2017-11871, et CVE-2017-11873 qui touche le moteur de script (Scripting Engine) des navigateurs.
Particulièrement si les utilisateurs disposent de privilèges administrateurs alors que, exploitables depuis une page Web infectieuse ou un fichier corrompu, l'exploitation des failles ouvre la possibilité d'exécuter du code à distance.
Pas de faille critique pour Windows
Si aucune brèche critique ne touche les environnements Windows ce mois-ci, le fournisseur de services de sécurité Qualys recommande néanmoins de se concentrer sur les CVE-2017-11830 et CVE-2017-11847 qui permettent respectivement de contourner des mesures de sécurité et des élévations de privilèges utilisateur.
La même attention sera portée sur la CVE-2017-11882 qui touche Office. Si Microsoft la classe comme seulement Important, « il peut y avoir du code POC (prototype, NDLR) pour cette vulnérabilité », note Qualys.
Lire également
Sécurité : Microsoft automatise la recherche de bugsSécurité : Microsoft Essentiel, le pire des antivirus Sécurité : Microsoft automatise la recherche de bugs