En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 20/03/2018
    Edition 2018 des salons Solutions RH

    L’édition 2018 du rendez-vous de toute la communauté RH, avec 3 grandes manifestations aura lieu…

    en détail En détail...
  • 20/03/2018
    IT & IT Security Meetings 2018

    IT Meetings devient IT & IT Security Meetings et ouvrira ses portes en mars, du…

    en détail En détail...
Appels d'offres en cours
  • Création d'un site eCommerce pour la vente de prêt à porter
    < 5 000 €
    > En savoir plus
  • Création d'un site E-commerce dans la vente de prêt-à-porter
    < 5 000 €
    > En savoir plus
  • Création d'un site eCommerce pour la vente de bijoux et vêtements
    < 3 000 €
    > En savoir plus
Arcaneo_Congres DSI 2018_leaderboard

Exclusif – Ce qu’il faut retenir du Patch Tuesday de novembre 2016 selon Shavlik

Primobox_Demat RH_pave 2

Chaque mois Shavlik nous livre en exclusivité son analyse du Patch Tuesday. Les patchs de novembre fournissent des mises à jour Microsoft, Adobe et Google. Et malheureusement, vous devrez encore y prêter attention demain et dans les semaines à venir.

Microsoft a publié 14 bulletins, dont 6 sont marqués comme critiques, pour résoudre 68 vulnérabilités uniques. Deux de ces vulnérabilités ont été exploitées par des attaques Zero Day et trois des bulletins contiennent des divulgations publiques.

Concernant l’attaque Zero Day sur Adobe Flash/Microsoft, identifiée en octobre et pour laquelle Flash a publié une mise à jour le 26 octobre afin de résoudre la vulnérabilité CVE-2016-7855, Microsoft a résolu le CVE-2016-7255 dans la mise à jour MS16-135.

Adobe a publié une autre mise à jour Flash Player (APSB-16-37), marquée Priorité 1, qui résout 9 CVE. Pour ceux qui n’ont pas encore publié la mise à jour Flash du 26 octobre (APSB16-36), il faut en faire une priorité avec la mise à jour MS16-135.

Microsoft a traité une deuxième vulnérabilité Zero Day ce mois-ci (CVE-2016-7256). MS16-132 résout une vulnérabilité liée aux polices Open Type, qui peut permettre à un pirate d’exécuter du code à distance. Un pirate peut cibler un utilisateur afin d’exploiter cette vulnérabilité, soit en créant un document conçu pour exploiter la vulnérabilité, soit en hébergeant un site Web spécialement conçu pour exploiter la vulnérabilité. Le pirate doit convaincre un utilisateur de cliquer sur le contenu conçu dans ce but ou de l’ouvrir – ce qui n’est malheureusement pas difficile à faire. Ce bulletin est également une des priorités de ce mois-ci.

Plusieurs bulletins contiennent des divulgations publiques, ce qui signifie qu’un nombre suffisant d’informations a été communiqué au public pour que les pirates aient le temps de développer un code d’exploitation. Cela renforce le risque d’exploitation de ces vulnérabilités ; nous devons donc augmenter le niveau de risque et la priorité des bulletins contenant des divulgations publiques. Davantage d’informations sont disponibles à ce sujet sur l’infographie Shavlik Patch Tuesday.

  • MS16-129 pour le navigateur Edge résout les vulnérabilités CVE-2016-7199 et CVE-2016-7209.
  • MS16-135 pour Windows résout CVE-2016-7255 (qui a déjà été exploitée).
  • MS16-142 pour Internet Explorer résout CVE-2016-7199.

Google Chrome est passé en version bêta mercredi dernier. Avec la mise à jour Flash Player supplémentaire, cela signifie qu’il faut s’attendre à une mise à niveau Chrome dans un futur proche, probablement dans la semaine à venir. Comme toujours, il faut s’assurer d’avoir bien mis à jour Chrome afin de prendre en charge le dernier plug-in Flash Player.

Il faut aussi vérifier que la mise à jour Oracle (Q4 CPU) publiées en octobre a bien été implémentée. Celle-ci inclut une mise à jour critique de Java JRE et de nombreux autres produits Oracle.

Novembre marque également le deuxième mois du nouveau modèle de maintenance. Voici les paquets à déployer que nous attendons pour ce mois-ci :

–          Le lot Sécurité (Security Only Bundle, SB16-002) va inclure les bulletins suivants : MS16-130, MS16-131, MS16-132, MS16-134, MS16-135, MS16-137, MS16-138, MS16-139, MS16-140 et MS16-142.

–          Le déploiement mensuel (CR16-002) va inclure les bulletins suivants en plus des correctifs de qualité et des mises à jour des mois précédents : MS16-130, MS16-131, MS16-132, MS16-134, MS16-135, MS16-137, MS16-138, MS16-139, MS16-140 et MS16-142.

PatchTues-Poster-Nov2016

 

Auteur : Juliette Paoli

Exclusif – Ce qu’il faut retenir du Patch Tuesday de novembre 2016 selon Shavlik
Notez cet article

Laisser un commentaire

Signature électronique : témoignages

Comment la signature électronique a permis à Salesforce, LinkedIn, et McAfee d’ améliorer leurs performances.

Lire le livre blanc

Sondage

RGPD : ETES-VOUS PRÊT ? Le Règlement Général sur la Protection des Données entre en application le 25 mai 2018.

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
Témoignages
Juridique
  • Sécurité des données clients : la CNIL inflige une sanction de 100 000 € à Darty

    La CNIL prononce une sanction de 100 000 euros à l’encontre de Darty pour ne pas…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • L'agile : deux décennies plus tard

    Austin, dans l’état du Texas. Nous sommes en octobre 1995, un article s’apprête à être…

    > En savoir plus...
Etudes/Enquêtes
  • Automatisation, numérisation et emploi : l’impact sur le travail

    Le Conseil d’orientation pour l’emploi (COE) vient d’adopter un nouveau rapport sur les conséquences de…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement

Guide de la cybersécurité 2017-2018

BlueMind_Nouvelle version_skycraper
Agenda
livres blancs
Les Livres
Blancs
  • Préparation au règlement général sur la protection des données (RGPD)

    > Voir le livre
  • L'intelligence Artificielle, vraie rupture en cybersécurité

    > Voir le livre
Primobox_Demat RH_skycraper 1