Connexion
Abonnez-vous

Microsoft : quatre bulletins de sécurité seulement en janvier

Deux critiques, dont un pour Flash

Microsoft : quatre bulletins de sécurité seulement en janvier

Le 11 janvier 2017 à 08h14

Microsoft a publié hier soir ses nouveaux bulletins de sécurité. Un petit mois de janvier puisque seulement quatre ont été diffusés (deux critiques et deux importants).

Contrairement aux mois précédents qui atteignaient facilement la douzaine ou même la quinzaine de bulletins de sécurité, le mois de janvier est assez calme. Quatre seulement ont été publiés hier soir, parmi lesquels deux critiques : l’un pour Office, l’autre pour le lecteur Flash. Notez d’ailleurs que ce dernier provoque de manière quasi systématique l’apparition d’un bulletin critique mensuel.

Une faille révélée publiquement pour Edge

Contrairement à la plupart des bulletins sur Edge, celui de ce mois-ci ne comporte en outre qu’une seule et unique faille. Estampillée CVE-2017-0002, elle permet sous certaines conditions une élévation de privilèges, permettant à un pirate de récolter certaines information d’un domaine pour les injecter dans un autre. Il n’aurait qu’à mettre en place une page web spécialement conçue. Attention, même si la faille n’est pas critique, elle reste dangereuse, et ce d’autant plus que les détails en ont été révélés publiquement.

Le bulletin critique sur Office ne contient là également qu’une seule faille, spécifique à la version 2016 de la suite (versions 32 et 64 bits). La brèche est liée à une potentielle corruption de la mémoire, permettant en théorie à un pirate de déclencher une exécution arbitraire de code à distance. Comme souvent avec Office, l’exploitation passe par un document spécialement conçu.

Mises à jour cumulatives pour Windows 7, 8.1 et 10

Tous les Windows encore en cours de support peuvent donc récupérer les mises à jour via Windows Update. Pour Windows 7, 8.1 et 10, cela signifie une nouvelle mise à jour cumulative. On rappellera en effet que les deux précédentes versions du système utilisent désormais ce mode de diffusion. Depuis octobre, tous les correctifs sont réunis dans un téléchargement unique. Ceux de janvier intègrent donc les rustines de décembre, novembre et octobre. À compter de mars, Microsoft intègrera petit à petit les anciens correctifs dans les cumuls.

Sous Windows 10, la mise à jour cumulative (KB3213986) contient comme d’habitude un certain nombre d’autres corrections plus générales. La fiabilité de certains composants ou applications est revue à la hausse, notamment pour Groove, App-V, la lecture vidéo et Remote Desktop.

Parmi les problèmes corrigés, on note l’authentification par empreinte digitale qui ne réveillait parfois pas l’écran, un souci qui pouvait empêcher deux périphériques identiques de fonctionner en même temps sur l’ordinateur, un bug bloquant la sélection multiple des certificats dans l’interface, ou encore un autre pouvant empêcher l’appairage d’une smart card avec un lecteur sans contact. La liste complète des corrections est visible depuis la page dédiée à la mise à jour.

Après installation depuis Windows Update, la version du système deviendra 14393.693. Il s’agit de la branche 1607 (juillet 2016) correspondant à l’Anniversary Update, mais les moutures 1511 et 1507, plus anciennes (et bloquées comme telles dans les entreprises) ont également leur téléchargement. Il ne concerne toutefois qu’Edge.

Commentaires (7)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar



Notez d’ailleurs que ce dernier (Flash) provoque de manière quasi systématique l’apparition d’un bulletin critique mensuel.



Comment c’est encore possible autant de failles dans un logiciel après tant d’années ? Là ça me dépasse.

votre avatar

L’action script est plutôt riche et tenu quand même plutôt à jour des technos web, au moins jusqu’à il y a trois ou quatre ans.

De plus ce plugin manipule pas mal de matériel, ça fait une surface d’attaque bien large…

votre avatar

J’ai eu quelques soucis de compatibilité entre mon antivirus et l’installation des mises à jour sous windows 7 mais sinon, c’est cool.

votre avatar







yvan a écrit :



L’action script est plutôt riche et tenu quand même plutôt à jour des technos web, au moins jusqu’à il y a trois ou quatre ans.

De plus ce plugin manipule pas mal de matériel, ça fait une surface d’attaque bien large…





Je crois surtout que ça a été dev à la va-vite avec les pieds à une époque ou la sécurité n’était pas vraiment une priorité. Maintenant, reprendre tout ça relève du miracle.


votre avatar

Ca n’est pas incompatible, mais le “avec les pieds” relève de l’explication trop générique, l’ensemble des langages et compilateurs sont des devs à la va vite faits avec les pieds par rapport à scala qui est élégant et morderne si on veut aller par là. <img data-src=" />



Ce qui est certain c’est que l’architecture de flash date d’une époque où le cloisonnement mémoire etc. n’était pas à l’ordre du jour et que ça joue forcément sur la sécurité.

Même souci avec la JVM d’ailleurs je pense.



Ca ne veut pas dire que ça a été mal codé, juste les concepts d’architecture sont dépassés hors l’archi, sans tout recoder ça ne bouge pas facilement. Sans compter que les pluggins de navigateurs sont limités dans le type de fonctionnement qu’ils peuvent proposer.

votre avatar

Merci de l’info … faut que je m’attende a ce que ce tres cher W10 mette a jour mon ordinateur sans préavis !



Heureusement que j’ai un SSD !!





PS : Non ce message n’est pas un troll, juste une constatation …

votre avatar

Previously on The Flash…

Microsoft : quatre bulletins de sécurité seulement en janvier

  • Une faille révélée publiquement pour Edge

  • Mises à jour cumulatives pour Windows 7, 8.1 et 10

Fermer