Enabling Flash in Google Chrome and Microsoft Edge Browsers
Les failles zero-day qui ont permis les attaques contre Internet Explorer 6 et 7, révélées fin novembre, accaparent les correctifs critiques dans Patch Tuesday d'aujourd'hui, tout comme Microsoft Office Project et Server 2008.
La mise à jour IE cumulative, MS09-072, répertorie cinq bogues de sécurité différents affectant IE 6, 7 et 8. Alors que le code d'exploitation publiquement disponible pour IE 6 et 7 zero-day n'a pas toujours déclenché une attaque réussie dans les tests de laboratoire, Microsoft attribue ce patch à 1 sur son indice d'exploitabilité, ce qui signifie que la société estime que des attaques conséquentes sont probables. Au moins une des failles pourrait être attaquée en regardant simplement une page Web empoisonnée.
La mise à jour est critique pour IE 5 sous Windows 2000, IE 6 sous Windows XP ou Server 2003 et IE 7 sous XP et Vista. Il est également essentiel pour IE 8 sur XP, Vista et Windows 7, mais les taux modérés plutôt que critiques pour IE 7 sur Server 2003 et Server 2008, ainsi que IE 8 sur Server 2003 et Server 2008. Pour plus de détails, voir le MS09- 072 bulletin.
[Plus d'informations: Comment supprimer les logiciels malveillants de votre PC Windows]Un deuxième bulletin traite des failles dans Microsoft Office Project qui pourraient être déclenchées en ouvrant un fichier Project malveillant. MS09-074 est évalué critique uniquement pour Microsoft Project 2000 Service Release 1 et important pour Project 2002 SP 1 et 2003 SP 3. Project 2007 n'est pas affecté.
Windows Server 2008 est à risque critique de la troisième faille fixe dans le Service d'authentification Internet. Seuls les serveurs utilisant PEAP avec l'authentification MS-CHAP v2 sont à risque, selon le bulletin MS09-071, qui est jugé important ou modéré pour Windows 2000, XP, Server 2003, Vista et Server 2008.
Mises à jour supplémentaires importantes corrige une vulnérabilité de déni de service dans Windows 2000, XP et Server 2003 (MS09-069), ainsi qu'une faille impliquant des requêtes HTTP envoyées à un serveur Web Server 2003 ou Server 2008 (MS09-070). Un correctif final, MS09-073, corrige un bogue dans WordPad et les convertisseurs de texte Office qui pourraient être déclenchés en ouvrant un document malveillant.
Lancez Microsoft Update pour récupérer tous ces correctifs, et pour plus d'informations, consultez le bulletin de sécurité de Microsoft. Résumé pour décembre 2009, ainsi que le poste MSRC.
Un bug SMB corrigé par Microsoft mardi a été rendu public il y a plus de sept ans. Certains correctifs de sécurité prennent du temps. Sept ans et demi, en fait, si vous comptez le temps qu'il faudra à Microsoft pour corriger un problème de sécurité dans son service SMB (Server Message Block), corrigé mardi. Ce logiciel est utilisé par Windows pour partager des fichiers et imprimer des documents sur un réseau.
Dans un blog, Microsoft a reconnu que "des outils publics, y compris un module Metasploit, sont disponibles pour effectuer cette attaque". Metasploit est une boîte à outils open-source utilisée par les pirates et les professionnels de la sécurité pour créer du code d'attaque.
Microsoft corrige un défaut d'image critique de Windows
Le correctif le plus important du lot mensuel de Microsoft corrige un risque sérieux de manipulation des images de métafichier. un trou qui pourrait transmettre le contrôle de votre PC à un attaquant si vous visualisez une image empoisonnée sur un site Web ou dans un courriel HTML. Dans le passé, des failles similaires ont été largement ciblées par des escrocs en ligne
Microsoft corrige un défaut MP3 critique
Les attaques potentielles des pages Web empoisonnées ou du réseau sont également prises en compte par le lot de correctifs mensuels de Redmond. Microsoft inclut six bulletins critiques qui évitent les attaques potentielles impliquant des fichiers multimédias empoisonnés et des pages Web, ainsi que des failles de sécurité sans fil et TCP / IP. Une faille FTP sous-attaque reste non fixée