En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 06/12/2017
    Paris Open Source Summit

    Paris Open Source Summit, premier événement européen libre et open source, est le fruit de…

    en détail En détail...
  • 23/01/2018
    FIC 2018

    Pour son 10ème anniversaire, le Forum International de la Cybersécurité (FIC) réunira l’ensemble des acteurs…

    en détail En détail...
Appels d'offres en cours
Universign_simplifiez process couts_leaderboard

Patch Tuesday : mises à jour réduites

BlueMind_Nouvelle version_pave

Chaque mois, Ivanti nous livre en exclusivité son analyse du Patch Tuesday. Après la panique des mois de mai et juin, le Patch Tuesday de juillet est presque ennuyeux. La série de mises à jour est assez réduite.

Selon comment vous les comptez, il y a 12 mises à jour Microsoft ce mois-ci. 10 sont marquées comme critiques et 1 est signalée comme importante. Il existe également une mise à jour modérée d’Exchange pour ce mois de juillet, avec des notes d’application intéressantes qui méritent quelques explications. Pas de « zero day » ce mois-ci, et aucune mise à jour publiée pour XP ou Server 2003, mais 4 divulgations publiques à connaître.

Comme prévu, il y a également une mise à jour Adobe pour Flash Player, et Oracle publie sa mise à jour CPU trimestrielle, mais elle ne sort réellement que la semaine prochaine, le 18 juillet. Veillez seulement à ne pas l’oublier.

Toutes les mises à jour d’OS ce mois-ci incluent des corrections critiques et quelques divulgations publiques. C’est pourquoi, que vous diffusiez en mode Push le déploiement mensuel ou le lot Sécurité uniquement avec Internet Explorer, toutes ces mises à jour ont plus ou moins la même urgence.

Quelles sont donc les divulgations identifiées pour ce mois de juillet ? L’expression « divulgation publique » signifie qu’un nombre suffisant d’informations a été communiqué au public pour que les pirates aient le temps de développer un code d’exploitation. Autrement dit, le risque lié à une vulnérabilité divulguée publiquement est plus élevé que pour d’autres mises à jour de même gravité.

CVE-2017-8584 – Vulnérabilité de HoloLens qui peut permettre l’exécution de code à distance. Cette vulnérabilité affecte Windows 10 1607 et Server 2016, et peut permettre à un pirate d’envoyer un paquet Wi-Fi spécialement conçu pour prendre le contrôle du système infecté.

CVE-2017-8587 – Vulnérabilité de Windows Explorer qui peut permettre une attaque par DoS (Déni de service). Cette vulnérabilité affecte les systèmes Windows 7 à Windows 10 1511, et Server 2008 à Server 2012 R2, et affecte la manière dont Windows Explorer tente d’ouvrir un fichier inexistant. Cette vulnérabilité peut permettre de cibler un utilisateur en hébergeant un site Web spécialement conçu, contenant la référence au fichier inexistant et qui empêche le système de l’utilisateur de fonctionner.

CVE-2017-8602 – Vulnérabilité des navigateurs Internet Explorer 11 et Edge lors de l’analyse du contenu HTTP, qui peut permettre une attaque par usurpation d’identité (spoofing). Le pirate peut leurrer l’utilisateur en le redirigeant vers un site Web spécialement conçu à cet effet, qui usurpe l’identité du contenu ou sert de pivot dans une chaîne d’attaque basée sur d’autres exploitations de service Web. Ces attaques ciblent l’utilisateur, par hameçonnage ou « sables mouvants ».

CVE-2017-8611 – Vulnérabilité du navigateur Microsoft Edge lors de l’analyse du contenu HTTP, qui peut permettre une attaque par usurpation d’identité (spoofing). Le pirate peut leurrer l’utilisateur en le redirigeant vers un site Web spécialement conçu à cet effet, qui usurpe l’identité du contenu ou sert de pivot dans une chaîne d’attaque basée sur d’autres exploitations de service Web. Ces attaques ciblent l’utilisateur, par hameçonnage ou « sables mouvants ».

La mise à jour Exchange du mois s’applique uniquement dans certaines circonstances spécifiques. Cette mise à jour s’applique uniquement si vous utilisez :

Microsoft Exchange Server 2013 SP1

Microsoft Exchange Server 2013 CU 16

Microsoft Exchange Server 2016 CU 5

Si vous avez déployé les versions 2013 CU 17 ou 2016 CU 6 récemment publiées, ou si vous utilisez une version CU plus ancienne, cette mise à jour ne s’applique pas. Il s’agit d’une mise à jour de type Modéré, un peu moins urgente.

Adobe Flash Player résout trois vulnérabilités ce mois-ci. L’une d’elles est marquée Critique et peut permettre l’exécution de code à distance. Et surtout, vous devrez peut-être mettre à jour plusieurs instances de Flash sur un même système pour réellement résoudre ces vulnérabilités. Il y a un programme d’installation de Flash Player proprement dit, plus des plug-in pour IE, Chrome ou Firefox qui doivent également être mis à jour. Sur certains systèmes, les 4 sont installés et vous devez tous les mettre à jour.

Auteur : Juliette Paoli

Patch Tuesday : mises à jour réduites
Notez cet article

Laisser un commentaire

Signature électronique: webinaire 30 novembre

Au travers d’un parcours utilisateurs simple, la solution de signature électronique Universign est ergonomique et apporte les meilleures garanties légales.

Info er inscription

Sondage

RGPD : ETES-VOUS PRÊT ? Le Règlement Général sur la Protection des Données entre en application le 25 mai 2018.

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
Témoignages
Juridique
  • Avantages fiscaux d'Apple et d'Amazon : Bercy soutient les décisions de la Commission européenne

    Dans une déclaration commune, Bruno Le Maire, Gérald Darmanin et Mounir Mahjoubi se réjouissent des…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • Vidéo - Alain Bouillé, président du CESIN, n’imagine pas l’agilité sans tests continus

    Toute entreprise devra former sur le long terme ses développeurs et ses administrateurs, et surveiller…

    > En savoir plus...
Etudes/Enquêtes
  • Bernard Charlès (Dassault Systèmes), 3e patron mondial de l'IT en 2017

    Bernard Charlès, vice-président du conseil d'administration et directeur général de Dassault Systèmes Plusieurs dirigeants d'entreprises…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement

Guide de la cybersécurité 2017-2018

Global Knowledge_Docker_Skycraper
Agenda
livres blancs
Les Livres
Blancs
  • Le paiement en 2050 et au-delà

    > Voir le livre
  • Usages et technologies : concrétisez la transformation digitale de votre métier

    > Voir le livre
Global Knowledge_Docker_Skycraper