Advisory Council Meeting, 25 September 2014, Paris - Français
Microsoft a corrigé aujourd'hui une faille sérieuse de sous-attaque dans un contrôle ActiveX vidéo, ainsi que d'autres failles critiques impliquant des fichiers et des polices QuickTime. Mais un trou critique de zero-day dans un autre contrôle ActiveX reste non corrigé
Le correctif le plus important dans Patch Tuesday d'aujourd'hui corrige un trou divulgué il y a huit jours dans le contrôle Microsoft Video ActiveX. La faille, qui a été attaquée activement, est critique pour Windows XP et modérée pour Windows 2003. Le correctif MS09-032 désactive le contrôle inutilisé (à des fins légitimes) pour bloquer les attaques potentielles, mais ne corrige pas le défaut sous-jacent.
Remarque: à partir de 14h, Microsoft n'a pas encore publié les liens de bulletins individuels (pour MS09-032, etc.). Jusqu'à ce que ces liens vous amènent à la page d'accueil de TechNet.
[Plus d'informations: Comment supprimer les logiciels malveillants de votre PC Windows]Une seconde correction ferme un autre trou d'attaque impliquant la façon dont Microsoft DirectShow traite QuickTime contenu. Le correctif MS09-028 ferme trois bogues de sécurité, révélés en mai, qui peuvent être déclenchés lors de l'ouverture ou même de la prévisualisation d'un fichier QuickTime empoisonné. Windows XP, 2000 et Server 2003 sont tous affectés, que QuickTime d'Apple soit installé ou non sur le PC vulnérable. Consultez le bulletin MS09-028 pour plus d'informations.
Deux vulnérabilités critiques du moteur de polices Microsoft Embedded OpenType se ferment avec le troisième correctif, MS09-029. Bien qu'aucune de ces failles ne soit répertoriée comme étant sous attaque active, toutes deux obtiennent une cote «Probable exploit code probable» dans l'indice d'exploitabilité de Microsoft. Windows 2000, XP, Server 2003, Vista et Server 2008 sont tous à risque.
Trois autres correctifs ferment les trous jugés importants, plutôt que critiques. Un correctif pour Office 2007 ferme un trou dans Microsoft Office Publisher qui pourrait être attaqué lors de l'ouverture d'un fichier Publisher malveillant (voir MS09-030). Deux autres pour Virtual PC et Virtual Server (MS09-033), et pour Microsoft Internet Security et Acceleration Server 2006 (MS09-031), ferment la fermeture de privilèges et sont probablement les plus préoccupants pour les types de TI.
Ces correctifs arrivera via les mises à jour automatiques, et vous pouvez également récupérer tham manuellement en exécutant Microsoft Update. Mais gardez à l'esprit qu'une faille critique rapportée hier reste non fixée. La faille impliquant un contrôle ActiveX installé par Office permet des attaques par téléchargement, mais peut être atténuée en exécutant un téléchargement Fix-it rapide.
Un bug SMB corrigé par Microsoft mardi a été rendu public il y a plus de sept ans. Certains correctifs de sécurité prennent du temps. Sept ans et demi, en fait, si vous comptez le temps qu'il faudra à Microsoft pour corriger un problème de sécurité dans son service SMB (Server Message Block), corrigé mardi. Ce logiciel est utilisé par Windows pour partager des fichiers et imprimer des documents sur un réseau.
Dans un blog, Microsoft a reconnu que "des outils publics, y compris un module Metasploit, sont disponibles pour effectuer cette attaque". Metasploit est une boîte à outils open-source utilisée par les pirates et les professionnels de la sécurité pour créer du code d'attaque.
Microsoft prend au sérieux les allégations selon lesquelles des partenaires commerciaux se livrent à des pots-de-vin pour obtenir des marchés publics dans trois pays en dehors des États-Unis, le Microsoft a pris mardi au sérieux les accusations selon lesquelles des partenaires commerciaux se seraient livrés à des pots-de-vin pour obtenir des marchés publics dans trois pays en dehors des Etats-Unis, a annoncé mardi le Wall Street Journal. la Securities and Exchange Commission des États-Unis enquê
[Lectures supplémentaires: Votre nouvel ordinateur a besoin de ces 15 programmes gratuits et excellents]
Google corrige les trous de sécurité dans le navigateur Chrome
La dernière mise à jour du navigateur Chrome corrige neuf failles, y compris deux vulnérabilités critiques. Une nouvelle version de son navigateur Chrome corrige neuf failles de sécurité, y compris deux menaces critiques.