Patch Tuesday : Microsoft aux petits soins pour ses navigateurs Web

Clément Bohic,
Sécurité
patch-tuesday-mai-2016

En tête de la feuille de soins associée au Patch Tuesday de mai 2016, Edge et Internet Explorer font l’objet de correctifs critiques.

Microsoft garde le rythme pour le Patch Tuesday.

La fournée du mois de mai est encore plus importante qu’en avril, avec pas moins de 16 bulletins de sécurité, dont 8 classés critiques.

Dans cette dernière catégorie, on relèvera le correctif MS16-051, qui résorbe cinq failles dans Internet Explorer pouvant permettre l’exécution de code à distance avec les droits de la session en cours sur le système visé.

En tête de liste, les vulnérabilités répertoriées CVE-2016-0187 et CVE-2016-0189. Elles peuvent occasionner une corruption de mémoire dans le rendu des moteurs JScript et VBScript. L’attaque peut se faire via un site Web malveillant, mais aussi par l’intégration, dans une application ou un document Office qui héberge le moteur de rendu d’IE, d’un contrôle ActiveX marqué « sur pour l’initialisation ».

Edge, l’autre navigateur de Microsoft, a aussi droit à ses correctifs avec le bulletin MS16-052. Quatre failles sont colmatées dont trois dans le moteur Chakra JavaScript.

Le bulletin MS16-053 s’applique également à JScript et VBScript, mais concerne spécifiquement Internet Explorer 7 et les versions antérieures.

Sur la feuille de soins, on trouve aussi Office. Le bulletin MS16-054 y corrige quatre failles de nature comparable (mauvais traitement des objets en mémoire), mais qui touchent différentes versions de la suite bureautique ou certaines composantes en particulier (Word par exemple pour la CVE-2016-0198).

Le bulletin MS16-055 concerne le composant Microsoft Graphics. Cinq failles sont résorbées, dont les CVE-2016-0168 et CVE-2016-0169, qui peuvent entraîner la divulgation d’informations permettant de compromettre davantage le système de l’utilisateur. On relèvera aussi la vulnérabilité CVE-2016-0184, liée à la réutilisation d’adresses mémoire libérées dans Direct3D.

Une seule faille figure dans le bulletin MS16-056, qui concerne le Journal Windows. Même chose pour le MS16-057, applicable à Windows Shell.

Ultime bulletin critique : celui destiné à Flash Player (MS16-064). Il reprend en fait les correctifs diffusés par Adobe dans son dernier patch, avec 24 failles au compteur.

Crédit photo : Nomad_Soul – Shutterstock.com

Lire aussi :

Chrome 55 : moins de RAM et de Flash au menu

Flash Player : une extinction étape par étape dans Google Chrome

Flash Player bloqué dans Google Chrome : ça se précise

Clément Bohic
Auteur : Clément Bohic
Lire la biographie de l´auteur  Masquer la biographie de l´auteur