crédit photo © Aleksandr Bedrin - Fotolia.com
Microsoft a publié hier, mardi 10 décembre en fin de journée heure française, son dernier patch tuesday 2013. Il est constitué de 11 correctifs de sécurité. L’occasion de faire un bilan sur l’année qui se termine.
Au cours des douze derniers mois, Microsoft a publié 106 bulletins de sécurité, souligne Wolfgang Kandek, CTO de Qualys. En nette progression par rapport aux 83 livraisons de 2012 mais constant en regard des 100 et 106 patches de 2011 et 2010 respectivement.
Un grand nombre de vulnérabilités Zero Day (publiquement exploitables) ont animé l’année. Particulièrement celles touchant le navigateur Internet Explorer que Microsoft a corrigé en janvier, mars et octobre. Une autre sur ActiveX a été comblée en octobre.
« Cependant, deux vulnérabilités Zero Day restent actuellement ouvertes, souligne Wolfgang Kandek. La première se trouve dans Windows et Microsoft Office, dans la bibliothèque pour le format graphique TIFF mentionnée début novembre […]. La deuxième est une vulnérabilité Zero-Day locale au sein du noyau Windows que Microsoft a indiqué […] le 27 Novembre. »
Si l’éditeur de Windows a prévu de corriger la première faille dans le prochain bulletin, le premier de 2014, le correctif de la seconde n’est pas encore finalisé. La meilleure défense reste donc de « neutraliser le vecteur d’attaque actuellement connu, à savoir une vulnérabilité corrigée dans Adobe Reader ». Mise à jour indispensable du lecteur, donc.
Quant aux correctifs de décembre, ils concernent avant tout les produits Offices et Lync, IE, Exchange, Sharepoint et Windows, ainsi que des outils de développement, touchés par 5 failles critiques et 6 importantes. Elles permettent notamment l’exécution de code à distance et l’élévation de privilèges d’administration. Comme tous les mois, les mises à jour sont donc vivement conseillées.
crédit photo © Aleksandr Bedrin – Fotolia.com
Lire également
Sécurité : le gouvernement US infiltré via une faille dans Adobe ColdFusion
L’Internet des Objets ? Plutôt l’Internet des vulnérabilités pour Symantec
8 smartphones sur 10 sont vulnérables
Respectivement DG et CTO de Red Hat France, Rémy Mandon et David Szegedi évoquent le…
Canonical formalise un service de conception de conteneurs minimalistes et y associe des engagements de…
L'Autorité de la concurrence s'apprêterait à inculper NVIDIA pour des pratiques anticoncurrentielles sur le marché…
Le CERT-FR revient sur les failles dans équipements de sécurité présents notamment en bordure de…
Mistral AI formalise ses travaux communs avec l'entreprise finlandaise Silo AI, qui publie elle aussi…
La présidente de Numeum, Véronique Torner, revient sur la genèse de la tribune du collectif…