En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 04/10/2017
    Convention USF 2017

    L'événement annuel de référence de l’ensemble de l’écosystème SAP français aura lieu cette année les…

    en détail En détail...
  • 03/10/2017
    Microsoft Experiences’17

    Les 3 et 4 octobre 2017 : voici deux jours dédiés à l'intelligence numérique pour le…

    en détail En détail...
Appels d'offres en cours
  • Création d'un site eCommerce pour une société de conseil en informatique
    < 5 000 €
    > En savoir plus
  • Création d'un site vitrine pour une société de transport
    A déterminer €
    > En savoir plus
  • Projet de CRM pour une société spécialisée dans la construction et la rénovation de bâtiment
    A déterminer €
    > En savoir plus
ITrust_SOC_leaderboard

Exclusif – Ce qu’il faut retenir du Patch Tuesday de novembre 2016 selon Shavlik

Paessler_Restez-au-top-Securite_Pave

Chaque mois Shavlik nous livre en exclusivité son analyse du Patch Tuesday. Les patchs de novembre fournissent des mises à jour Microsoft, Adobe et Google. Et malheureusement, vous devrez encore y prêter attention demain et dans les semaines à venir.

Microsoft a publié 14 bulletins, dont 6 sont marqués comme critiques, pour résoudre 68 vulnérabilités uniques. Deux de ces vulnérabilités ont été exploitées par des attaques Zero Day et trois des bulletins contiennent des divulgations publiques.

Concernant l’attaque Zero Day sur Adobe Flash/Microsoft, identifiée en octobre et pour laquelle Flash a publié une mise à jour le 26 octobre afin de résoudre la vulnérabilité CVE-2016-7855, Microsoft a résolu le CVE-2016-7255 dans la mise à jour MS16-135.

Adobe a publié une autre mise à jour Flash Player (APSB-16-37), marquée Priorité 1, qui résout 9 CVE. Pour ceux qui n’ont pas encore publié la mise à jour Flash du 26 octobre (APSB16-36), il faut en faire une priorité avec la mise à jour MS16-135.

Microsoft a traité une deuxième vulnérabilité Zero Day ce mois-ci (CVE-2016-7256). MS16-132 résout une vulnérabilité liée aux polices Open Type, qui peut permettre à un pirate d’exécuter du code à distance. Un pirate peut cibler un utilisateur afin d’exploiter cette vulnérabilité, soit en créant un document conçu pour exploiter la vulnérabilité, soit en hébergeant un site Web spécialement conçu pour exploiter la vulnérabilité. Le pirate doit convaincre un utilisateur de cliquer sur le contenu conçu dans ce but ou de l’ouvrir – ce qui n’est malheureusement pas difficile à faire. Ce bulletin est également une des priorités de ce mois-ci.

Plusieurs bulletins contiennent des divulgations publiques, ce qui signifie qu’un nombre suffisant d’informations a été communiqué au public pour que les pirates aient le temps de développer un code d’exploitation. Cela renforce le risque d’exploitation de ces vulnérabilités ; nous devons donc augmenter le niveau de risque et la priorité des bulletins contenant des divulgations publiques. Davantage d’informations sont disponibles à ce sujet sur l’infographie Shavlik Patch Tuesday.

  • MS16-129 pour le navigateur Edge résout les vulnérabilités CVE-2016-7199 et CVE-2016-7209.
  • MS16-135 pour Windows résout CVE-2016-7255 (qui a déjà été exploitée).
  • MS16-142 pour Internet Explorer résout CVE-2016-7199.

Google Chrome est passé en version bêta mercredi dernier. Avec la mise à jour Flash Player supplémentaire, cela signifie qu’il faut s’attendre à une mise à niveau Chrome dans un futur proche, probablement dans la semaine à venir. Comme toujours, il faut s’assurer d’avoir bien mis à jour Chrome afin de prendre en charge le dernier plug-in Flash Player.

Il faut aussi vérifier que la mise à jour Oracle (Q4 CPU) publiées en octobre a bien été implémentée. Celle-ci inclut une mise à jour critique de Java JRE et de nombreux autres produits Oracle.

Novembre marque également le deuxième mois du nouveau modèle de maintenance. Voici les paquets à déployer que nous attendons pour ce mois-ci :

–          Le lot Sécurité (Security Only Bundle, SB16-002) va inclure les bulletins suivants : MS16-130, MS16-131, MS16-132, MS16-134, MS16-135, MS16-137, MS16-138, MS16-139, MS16-140 et MS16-142.

–          Le déploiement mensuel (CR16-002) va inclure les bulletins suivants en plus des correctifs de qualité et des mises à jour des mois précédents : MS16-130, MS16-131, MS16-132, MS16-134, MS16-135, MS16-137, MS16-138, MS16-139, MS16-140 et MS16-142.

PatchTues-Poster-Nov2016

 

Auteur : Juliette Paoli

Exclusif – Ce qu’il faut retenir du Patch Tuesday de novembre 2016 selon Shavlik
Notez cet article

Laisser un commentaire

Formations Cloud Computing

Les services IT ont plus que jamais besoin de formations pour soutenir leurs processus d’amélioration continue et de performance. Global Knowledge offre un vaste catalogue de formations Cloud.

Plus d’info

Sondage

Windows 10 et vous

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
Témoignages
Juridique
  • Déréférencement mondial de pages : Google attaque une décision du Canada

    Google a demandé à la justice américaine de bloquer une décision de la Cour suprême…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • Dématérialisation des documents RH, une aubaine pour les salariés ou pour les employeurs ?

    Depuis le 1er janvier 2017 et l’entrée en vigueur de la loi Travail, les employeurs…

    > En savoir plus...
Etudes/Enquêtes
  • RGPD : une charge pour l'IT et la sécurité, mais pas que...

    Les entreprises se sont-elles mises au diapason des nouvelles règles européennes de sécurité et de…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement
elo_processus pointe_skyscraper
Agenda
livres blancs
Les Livres
Blancs
  • Communications unifiées : la mobilité et la collaboration au cœur des métiers

    > Voir le livre
  • Surveillance de réseau : un élément indispensable de la sécurité informatique

    > Voir le livre
GlobalK_Cloud_Skycraper