Microsoft corrige 5 failles critiques de Windows 10 dans le dernier Patch Tuesday. En tout, ce sont 10 vulnérabilités qui fragilisaient les OS PC et serveur de Microsoft. Elles affectent aussi bien les navigateurs Edge et Internet Explorer que Skype, Office, Lync ou encore Adobe Flash Player. A noter qu'Adobe a récemment publié des correctifs pour 84 failles impactant son module Flash, Acrobat et Creative Cloud.
Les deux premiers bulletins concernent Internet Explorer (MS16-118) et Edge (MS16-119) pour des failles zero day. Bien exploitées à travers une page web, elles permettent d'exécuter du code malveillant depuis les navigateurs et d'acquérir les droits administrateurs. Ces failles étaient déjà probablement exploitées d'après la firme de Redmond.
Un composant graphique affecté
Le troisième bulletin (MS16-120) vient pour sa part boucher une faille zero day du composant graphique GDI+, utilisé par .NET, Skype, Lync et Silverlight. La encore l'exploitation de cette faille via une page web ou un document vérolé permet l’exécution de code à distance. L'attaquant ne pouvait toutefois qu'obtenir les droits adjugés à la machine affectée. Une autre faille critique zero day pouvant être exploité de façon similaire concerne les fonctions de contrôle vidéo de Windows. Elle est corrigée via le bulletin MS16-122.
Flash Player concerné
Le bulletin MS16-121 est pour sa part reservé à Office. Une faille critique, pas zero day cette fois-ci, permet l’exécution de code arbitraire lors de l'ouverture de fichiers RTF quand ce dernier n'est pas correctement géré par l'outil bureautique de Microsoft. Les autres bulletins viennent couvrir des failles jugées d'importantes à modérées. A noter que le bulletin MS16-127 vient combler une faille critique propre à Adobe Flash Player.
Pour les professionnels, les correctifs du Patch Tuesday sont accessibles sous la forme de mise à jour de sécurité via le Windows Server Update Services, ConfigMgr ou Windows Update Catalog. Les particuliers doivent quant à eux passer par Windows Update. Ils récupèrent ainsi les dernier correctifs mais aussi ceux des mois précédents.