Discussion :

[Stéphane le calme]

Patch Tuesday : Microsoft publie 13 bulletins de sécurité,
IE et Edge au coude à coude sur le nombre de failles corrigées

L'édition mars 2016 du traditionnel Patch Tuesday de Microsoft comprend 13 bulletins de sécurité parmi lesquels cinq sont classés dans la catégorie « critique ».

Le bulletin critique MS16-027 (qui concerne les versions Windows 7, Windows Server 2008 R2, Windows Server 2012, Windows 8.1, Windows Server 2012 R2, Windows RT 8.1, et Windows 10), vient colmater des vulnérabilités dans Windows Media permettant l'exécution d'un code à distance si un utilisateur ouvre un contenu multimédia spécialement conçu à cet effet et qui est hébergé sur un site web. Le correctif vient modifier la façon dont Windows gère les ressources dans la bibliothèque média.

Le bulletin critique MS16-026 vient quant à lui corriger des problèmes de sécurité dans la manière dont le système d'exploitation traite des polices de caractères OpenType. Ici c'est la bibliothèque logicielle Windows Adobe Type Manager qui est mise en cause.

Dans le bulletin critique MS16-028, Microsoft explique que « ces vulnérabilités auraient pu autoriser l'exécution de code à distance si un utilisateur ouvrait un fichier .pdf spécialement conçu à cet effet. Un attaquant qui réussit à exploiter ces vulnérabilités aurait pu exécuter du code arbitraire dans le contexte de l'utilisateur du moment. Si un utilisateur s'identifiait avec des droits administrateur, un attaquant aurait pu prendre le contrôle du système affecté. Il aurait pu alors installer des programmes, voir, modifier ou effacer des données, créer de nouveaux comptes avec tous les droits utilisateurs. Les comptes utilisateurs configurés avec le moins de droits sur le système peuvent être moins concernés que les utilisateurs qui opèrent avec des droits administrateur ». Sont concernés les plateformes Windows 8.1, Windows Server 2012, Windows Server 2012 R2 et Windows 10.

M16-023 et M16-024, qui sont eux aussi des bulletins critiques, sont respectivement un correctif cumulatif d'Internet Explorer et un correctif de Microsoft Edge, le nouveau navigateur de l'éditeur. M16-024 vient corriger la façon dont Edge gère les objets en mémoire, même chose pour M16-023 sur IE9, IE10 et IE11. Au total, onze failles ont été corrigées dans Edge contre treize sur IE. Pour les chercheurs en sécurité, il s'agit là d'un signe d'arrivée à maturité du navigateur puisque le nombre de failles corrigées est pratiquement à égalité avec celui d'IE (en décembre dernier, l'éditeur a corrigé 30 failles sur IE contre 15 sur Edge).

Classé comme étant important, MS16-029 vient corriger la façon dont Office gère les objets en mémoire, ainsi que la manière dont il fournit un fichier binaire valablement signé.

Source : Blog Microsoft

Voir aussi :

le forum sécurité Windows

[BufferBob]

Microsoft publie 13 bulletins de sécurité

c'est pas un nombre qui porte chance ?

[Dasoft]

Ici c'est la bibliothèque logicielle Windows Adobe Type Manager qui est mise en cause.

Même où on ne les attend pas, Adobe est présent pour y inclure une faille