En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 14/03/2018
    IT Partners, le rendez-vous de la communauté des décideurs du channel IT

    Le rendez-vous de la communauté des décideurs du channel IT français ouvrira ses portes les 14 et…

    en détail En détail...
  • 21/03/2018
    Cloud Computing World Expo et Solutions Datacenter Management

    La 9ème édition de l’évènement phare du Cloud et des datacenters a lieu les 21…

    en détail En détail...

Failles de sécurité Windows : 6 mises à jour classées « critiques »

Microsoft a publié mardi 12 avril la synthèse de ses bulletins de sécurité pour le mois d’avril, qui corrige des vulnérabilités permettant l’exécution de code à distance..

Dans son bulletin de synthèse, les mises à jour de sécurité pour Internet Explorer, Edge, composant Microsoft Graphics, .NET Framework, Office et Adobe Flash Player côtoient celles concernant proprement dit Windows. Au total, 6 mises à jour critiques, que nous détaillons ici, et 7 mises à jour importantes.

Parmi les vulnérabilités critiques corrigées, et classées « critiques », on notera d’abord une mise à jour de sécurité cumulative pour Internet Explorer dont des failles permettraient d’obtenir les mêmes droits que l’utilisateur. Si celui-ci a des privilèges d’administrateur, un attaquant pourrait alors installer des programmes, afficher, modifier ou supprimer des données, ou créer des comptes dotés de tous les privilèges. Des vulnérabilités corrigées concernant Edge sont de même type.

Concernant Windows proprement dit, et Microsoft XML Core Services en particulier, le correctif s’attaque à une vulnérabilité qui «  pourrait permettre l’exécution de code à distance si un utilisateur cliquait sur un lien spécialement conçu qui pourrait permettre à un attaquant d’exécuter à distance du code malveillant afin de prendre le contrôle du système de l’utilisateur ». Microsoft se veut rassurant : « Dans tous les cas, un attaquant n’aurait aucun moyen de forcer un utilisateur à cliquer sur un lien spécialement conçu. Il devrait le convaincre, généralement par le biais d’une sollicitation envoyée par message électronique ou message instantané. »

Même problème d’exécution de code à distance avec la mise à jour de sécurité pour le composant Microsoft Graphics et qui corrige les vulnérabilités dans Microsoft Windows, mais aussi Microsoft .NET Framework, Microsoft Office, Skype Entreprise et Microsoft Lync. Pour que l’exécution de code à distance puisse de réaliser dans ce cas, il faudrait ouvrir un document spécialement conçu ou visiter une page web contenant des polices incorporées spécialement conçues.

En ce qui concerne Microsoft Office, le correctif empêche qu’un attaquant puisse exécuter du script arbitraire dans le contexte de l’utilisateur actuel. Critique également, la mise à jour de sécurité qui corrige des vulnérabilités dans Adobe Flash Player sur toutes les éditions prises en charge de Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows RT 8.1 et Windows 10.

Auteur : Juliette Paoli

Failles de sécurité Windows : 6 mises à jour classées « critiques »
Notez cet article

Laisser un commentaire

L’e-paiement, à l’heure de la convergence

Le nouveau livre blanc de la rédaction de Solutions-Numériques (40 pages). Dans un contexte réglementaire évolutif, le foisonnement des innovations s'accroit: paiement instantané, blockchain, dématérialisation, transformation de l’écosystème des paiements avec son ouverture à de nouveaux acteurs...

Lire le livre blanc

Sondage

RGPD : ETES-VOUS PRÊT ? Le Règlement Général sur la Protection des Données entre en application le 25 mai 2018.

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
  • La sécurité des données

    Spécial Assises de la sécurité 2017 - DSI et RSSI témoignent Gouvernance des données numériques…

  • Huawei Connect 2017

    Huawei Connect 2017 Démonstration de force d’un géant encore méconnu ! Huawei Connect 2017, Shanghai.…

Témoignages
Juridique
  • Corruption : la justice sud-coréenne libère l'héritier de Samsung

    (AFP - Jung Ha-Won) - La justice sud-coréenne a confirmé lundi la condamnation pour corruption…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • Shadow IT et RGPD : le CASB, un "sas protecteur entre Cloud et utilisateurs", Joël Mollo, Skyhigh

    L’utilisation par les employés de services Cloud non validés par leur direction informatique représente un…

    > En savoir plus...
Etudes/Enquêtes
  • Ransomware : la France paie un lourd tribut,175 000 € en moyenne

    Avec un coût médian de 175 000 €, la France est le deuxième pays le…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement

Guide de la cybersécurité 2017-2018

Agenda
livres blancs
Les Livres
Blancs