Microsoft : 68 failles corrigées dans les bulletins de novembre, deux déjà exploitées
« Et c’est pas fini »
Le 09 novembre 2016 à 08h40
3 min
Logiciel
Logiciel
Microsoft a publié hier ses bulletins de sécurité pour le mois de novembre. Ils sont au nombre de 14,dont 6 critiques, pour un total de 68 failles corrigées. L'un d'entre eux concerne la faille – déjà exploitée – révélée par Google.
Les utilisateurs ont ce mois-ci tout intérêt à installer rapidement les mises à jour proposées par Windows Update. Les 14 bulletins contiennent un certain lot de failles critiques, dont deux sont activement exploitées et trois ont été révélées publiquement. Dans ce type de situation, il est recommandé de procéder à l’installation sans attendre, même s’il existe des facteurs d’atténuation.
Deux failles critiques déjà exploitées...
Le bulletin le plus important est probablement le MS16-135, qui correspond à la faille révélée récemment par Google, au grand dam de Microsoft qui a accusé son concurrent de mettre les utilisateurs en danger. Google était surtout motivé de son côté par une vulnérabilité déjà exploitée par un groupe de pirates russes, connu notamment sous les noms de Strontium, ATP28 et FancyBear. L’éditeur ne donne par ailleurs que sept jours aux entreprises pour s’occuper de failles activement utilisées.
Mais il ne s’agit pas de la seule faille déjà exploitée. Le bulletin MS16-132 corrige un lot de vulnérabilités critiques dans la gestion des polices. Dans le lot, l’une est déjà en cours d’utilisation par des pirates. Ces brèches ont tout intérêt à être colmatées au plus tôt puisqu’elles sont exploitables à distance.
... trois autres révélées publiquement
Parmi les autres failles importantes, on notera celles contenues dans les bulletins MS16-129 et MS16-142. Il s’agit de correctifs cumulatifs pour Edge et Internet Explorer, notamment pour trois failles critiques qui, si elles ne semblent pas exploitées, ont été révélées publiquement. Les détails étant connus, des attaques sont donc à prévoir.
Le bulletin MS16-133 n’est pas critique – il est « important »- mais rassemble des failles permettant à des documents Office spécialement conçus de déclencher des attaques dans les applications correspondantes.
Mises à jour cumulatives pour (presque) tout le monde
Comme toujours avec le « Patch Tuesday », il suffit d’ouvrir Windows Update pour récupérer les mises à jour. Tous les Windows et Office en cours de support sont concernés. Rappelons que Windows 7 et 8.1 fonctionnent désormais sur ce point comme Windows 10 : via des mises à jour cumulatives. Elles ont été activées le mois dernier, celles de novembre reprenant donc celles d’octobre.
Concernant Windows 10, Microsoft publie évidemment une mise à jour cumulative, estampillée 14393.447. Elle corrige l’ensemble des failles citées et apporte des améliorations de fiabilité sur un certain nombre d’éléments : lecture audio, Remote Desktop, gestion des VHD, Explorateur ou encore Microsoft Graphics. Des bugs particuliers ont également été corrigés, notamment celui qui faisait parfois disparaître l’icône du Wi-Fi dans la barre des tâches, même quand le réseau était actif.
Notez enfin que pour les entreprises étant restées sur la branche 1511 du système (November Update), une mise à jour cumulative spécifique est proposée. Numérotée 10586.679, elle corrige les mêmes failles et comporte des corrections dédiées, notamment pour un bug qui pouvait empêcher Windows Update de fonctionner derrière un proxy.
Microsoft : 68 failles corrigées dans les bulletins de novembre, deux déjà exploitées
-
Deux failles critiques déjà exploitées...
-
... trois autres révélées publiquement
-
Mises à jour cumulatives pour (presque) tout le monde
Commentaires (8)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 09/11/2016 à 09h35
Rien pour windows 10 mobile?
Le 09/11/2016 à 11h57
Des failles dans les bulletins ! Voilà pourquoi je suis opposé au vote électronique !
Le 09/11/2016 à 13h43
+1
Le 09/11/2016 à 14h55
Le 09/11/2016 à 18h50
A noter que même les Windows Server ont droit aux patchs cumulatifs. Pour les petites machines type home server ça simplifie la chose (tout est installé automatiquement, y en a pas 1⁄4 qui ne l’est pas car facultatif pour on ne sait quels raisons…) et surtout ça la rend sacrément plus rapide ! Genre 10x sur mon pauvre Atom. Agréable !
Le 09/11/2016 à 21h59
Les màjs cumulatives, c’est l’enfer avec l’antivirus Microsoft Security Essentials depuis que le logiciel utilise ce mode de màj pour sa base virale.
Mon Win 7 se tape au moins 5 à 6 màjs MSE chaque jour, ça consomme du CPU (en entrainant d’autres processus de monitoring derrière), et c’est complètement inutile, au lieu d’1 màj/jr comme avant (selon si mon PC était allumé 24h avant ou après la dernière màj).
J’espère que l’on peut désactiver la màj cumulative de MSE via WU.
Le 10/11/2016 à 09h06
J’ai reçu la 14393.448 ce matin
Le 10/11/2016 à 09h45
Merci pour l’info.
Je suis en Insider mais j’aime bien suivre le déploiement niveau grand public.
Merci