crédit photo © Pavel Ignatov - shutterstock
Pas moins de huit correctifs (de MS13-088 à MS13-095) corrigeant 19 failles accompagnent le bulletin de sécurité, le patch tuesday, de Microsoft en novembre. Trois correctifs sont classés comme « critiques ». Autrement dit, ils permettent l’exécution de code à distance avec prise de contrôle de la machine avec les droits administrateurs.
Parmi celle-ci, une vulnérabilité zero day, donc publique et aujourd’hui exploitable, affecte un contrôle Active X (InformationCardSigninHelper Class) d’Internet Explorer. Une faille zero day dont Microsoft avait confirmé l’existence lors de la communication précédant le patch tuesday, vendredi dernier. Il faut néanmoins que l’utilisateur affiche une page Web spécialement conçue pour se voir affecté par la brèche de sécurité. « Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d’impact que ceux qui possèdent des privilèges d’administrateur », souligne par ailleurs l’éditeur.
Les quatre autres bulletins sont classés comme « importants ». Ils corrigent des vulnérabilités qui présentent des risques d’élévation de privilèges, de divulgation d’informations, de déni de service mais aussi d’exécution de code distant.
Internet Explorer (versions 6 à 11) mais aussi Office (de 2003 à 2013) et Outlook (2007 SP3 à 2013) sont affectés. Windows est également concerné depuis XP Service Pack 3 à Windows 8 et 8.1, tant sur plate-forme x86 que ARM (Windows RT) et en éditions 32 comme 64 bits. Les versions serveurs (2003, 2008, y compris pour Itanium, 2008 R2 et 2012) sont également concernées par ces mises à jour critiques et importantes.
Il est donc vivement recommandé d’appliquer les correctifs proposés par Microsoft. Soit en laissant l’outil Windows Update se charger de la mise à jour automatique ; soit en appliquant les correctifs manuellement en les téléchargeant à partir du Download Center selon les directives fournies sur TechNet.
crédit photo © Pavel Ignatov – shutterstock
Voir aussi
Quiz Silicon.fr – Imbattable sur le navigateur web Internet Explorer ?
La Cour des comptes appelle à formaliser et à professionnaliser certains aspects du RIE, tout…
La Cour des comptes attire l'attention sur le risque d'affaiblissement d'Etalab, privé, ces dernières années,…
Missions historiques de la Dinum, l'ouverture des données publiques et la promotion des logiciels libres…
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…
