Patch Tuesday : une belle moisson d’avril pour Microsoft

Poste de travailSécuritéSystèmes d'exploitation
patch-tuesday-avril-2016
7 3

Le Patch Tuesday d’avril 2016 est dense. De nombreux produits Microsoft sont concernés, dont Windows, Office et les navigateurs Web (Internet Explorer, Edge).

Microsoft reste sur un rythme soutenu avec le Patch Tuesday d’avril 2016 : pas moins de 13 bulletins de sécurité corrigeant une trentaine de failles.

Windows, Office, Edge et Internet Explorer figurent en bonne position sur la feuille de soins.

Les deux navigateurs Web font chacun l’objet d’un bulletin dédié.

Pour Internet Explorer, c’est le MS16-037, qui colmate six vulnérabilités, dont quatre ont trait à une altération de mémoire : le butineur accède de façon incorrecte à certains objets, ce qui peut permettre à un tiers d’exécuter du code à distance avec le niveau de privilèges de la session en cours.

Les deux autres failles concernent le chargement des DLL et plus particulièrement la validation préalable des entrées. Le patch modifie la façon dont ce traitement est effectué, aussi bien sur les postes de travail que les serveurs, pour toutes les versions d’IE encore prises en charge.

Edge est concerné par le bulletin MS16-038. On retrouve les mêmes soucis d’altération de mémoire, ainsi que deux failles liée au fait que le navigateur n’applique pas correctement les stratégies inter-domaines.

Le bulletin MS16-039 porte sur le composant Microsoft Graphics. Là aussi, on parle corruption de mémoire, plus précisément lorsque la bibliothèque de polices Windows traite de manière incorrecte les polices incorporées spécialement conçues. Outre l’OS, .NET Framework est touché, au même titre que Skype (Enterprise 2016) et Lync (2010, 2013).

Les XML Core Services ont aussi droit à un bulletin critique (MS16-040) qui résorbe des brèches situées au niveau de l’analyseur traitant les entrées utilisateur.

Pour toutes les versions d’Office depuis la 2007, il faut chercher dans le bulletin MS16-042. Des fichiers spécialement conçus pourraient permettre à des tiers de corrompre la mémoire et d’injecter du code, y compris dans des services annexes comme les visionneuses Word et Excel.

Pas de Patch Tuesday sans Flash Player ? Depuis quelques mois, Microsoft diffuse des correctifs pour le greffon d’Adobe et la session d’avril n’y déroge pas. Dix failles sont corrigées, exploitables via Internet Explorer ou via des contrôles ActiveX dans des applications qui hébergent le moteur de rendu du navigateur.

Crédit photo : Nomad_Soul – Shutterstock.com


Lire la biographie de l´auteur  Masquer la biographie de l´auteur