40 vulnérabilités critiques ont été corrigées dans le dernier Patch Tuesday de Microsoft, sur un total de 46 incluant d'autres produits de la firme de Redmond comme Windows et Office. Les patchs ont été répartis en 13 bulletins de sécurité, dont 3 considérés comme critiques et 10 importants. Les bulletins critiques MS15-043, MS15-044 et MS15-045 permettent de répondre aux risques d'exécution code distant dans Windows, IE, Office, le framework .NET, Lync et Silverlight.
Les administrateurs ont tout intérêt à se pencher en premier lieu sur le bulletin MS15-043 qui corrige 22 vulnérabilités dans Internet Explorer dont 14 classées critiques, a indiqué Wolfgang Kandek, directeur technique de Qualys. Ces dernières permettant à des pirates d'exécuter du code arbitraire sur des machines dont les utilisateurs ont visité des pages web malveillantes ou piégées par une variété de techniques mises en place par des pirates. Cependant, toutes les vulnérabilités portant sur de l'exécution de code distant sont loin d'être toutes exploitées : l'année dernière, seulement 5% de ce type de vulnérabilités ont été recensées dans des attaques réelles.
Vers des mises à jour de sécurité au fil de l'eau avec windows 10
Autre bulletin qui nécessite une attention particulière le MS15-044 car il corrige deux vulnérabilités dans une police de caractères utilisée par de nombreux produits Microsoft. Or, les attaquants peuvent exploiter cette faille en embarquant dans des documents ou des pages web une version vérolée de cette police. « Corrigez rapidement, en moins de deux semaines », enjoint Wolfgang Kandesk. L'une des raisons de réagir rapidement est que les pirates sont de plus en plus rapides à adopter ce type d'exploits en particulier à grande échelle. Mais les entreprises devraient s'habituer à un nouveau rythme de correctifs, Microsoft prévoyant de pousser les mises à jour pour Windows 10 au fil de l'eau signant la disparition programmée du Patch Tuesday. Il faut dire que cette mise à mort a commencé il y a quelques mois avec l'arrivée du service Windows Update for Business.
Toujours l'histoire du verre a moitié plein ou vide.
Signaler un abusEst-ce qu'il faut souligner l'effort de la société qui corrige les erreurs, ou pointer les erreurs ?
Sachant qu'avec des produits aussi lourds (en terme de dev bien sur) il est impossible de ne pas avoir de bugs, personnellement, je préfère avoir beaucoup de fonctionnalités et des corrections, que peu de fonctionnalités et de toutes façons quand même des bugs.
Étonnant de la part d'un lecteur de LMI de faire autant de fautes en si peu de mots.
Signaler un abusEtonnant de la par d'une telle entreprise de faire autant de mises à jour et de correctifs. Est-ce à dire que ce qu'ils vendent n'est jamais sécurisé ? Pfff, au lieu d'ajouter toujours plus de couches, et fonctions à leurs produits, il devrait commencer par repenser leur modèle de développement, et ensuite travailler en coopération avec les autres acteurs de l'informatique, pas contre eux. On voit les résultats, Windows toujours plus complexe, et toujours moins fiable (et qui prend de plus en plus de place, sans justifications). C'est du darwinisme inversé, ici on dévolue.
Signaler un abus