Un Patch Tuesday en version light pour IE et Office
Publié par La rédaction le | Mis à jour le
Avec 6 bulletins de sécurité, le Patch Tuesday de Microsoft est une édition légère. Les priorités restent IE et Office.
Le Patch Tuesday de Microsoft du mois d'octobre comporte six bulletins de sécurité dont trois critiques et trois importants. Ils colmatent 33 vulnérabilités,.
Les failles Windows les plus sensibles repérées et réparées concernent les moteurs de script VBScript et JScript et Windows Shell. Elles font planer des risques d'exécution de code à distance.
De son côté, le navigateur Internet Explorer fait l'objet d'une « mise à jour de sécurité cumulative » placée aussi dans la catégorie « critique » en raison des menaces de piratage. Selon Wolfgang Kandek, CTO de Qualys, le bulletin MS15-106 fournit 15 correctifs pour des vulnérabilités dont neuf sont critiques car pouvant entraîner des exécutions de code à distance (RCE). Les plateformes visées vont depuis Vista et IE7 et jusqu'à Windows 10 et IE11. Edge n'est pas concerné, mais il est touché par le bulletin MS15-107 qui comprend 2 correctifs plutôt mineurs : une fuite d'information ainsi qu'une mise à jour pour le filtre XSS, précise M Kandek.
Excel et noyau Windows dans le viseur
Microsoft Office fait également l'objet d'un patch pour des risques d'exécution de code à distance, selon ITespresso. Excel est particulièrement touché. L'utilisateur est invité à ouvrir une feuille de calcul Excel contenant un exploit pour l'une de ces vulnérabilités, ce qu'il fera sans trop hésiter si les feuilles de calcul présentent par exemple des informations produits pertinentes, des tarifs et encore des remises de fournisseurs concurrents.
Une mise à jour de sécurité du noyau Windows est par ailleurs vivement recommandée face à des risques d'élévation de privilèges en cas d'assaut sur un système affecté.
Le bulletin synthétique sur le site de Microsoft est à retrouver ici.
A lire aussi :
Patch Tuesday : grosse piqûre de sécurité pour la rentrée
Faille Stagefright d'Android : le patch de Google est troué