Microsoft garde le rythme pour le Patch Tuesday.
La fournée du mois de mai est encore plus importante qu’en avril, avec pas moins de 16 bulletins de sécurité, dont 8 classés critiques.
Dans cette dernière catégorie, on relèvera le correctif MS16-051, qui résorbe cinq failles dans Internet Explorer pouvant permettre l’exécution de code à distance avec les droits de la session en cours sur le système visé.
En tête de liste, les vulnérabilités répertoriées CVE-2016-0187 et CVE-2016-0189. Elles peuvent occasionner une corruption de mémoire dans le rendu des moteurs JScript et VBScript. L’attaque peut se faire via un site Web malveillant, mais aussi par l’intégration, dans une application ou un document Office qui héberge le moteur de rendu d’IE, d’un contrôle ActiveX marqué « sur pour l’initialisation ».
Edge, l’autre navigateur de Microsoft, a aussi droit à ses correctifs avec le bulletin MS16-052. Quatre failles sont colmatées dont trois dans le moteur Chakra JavaScript.
Le bulletin MS16-053 s’applique également à JScript et VBScript, mais concerne spécifiquement Internet Explorer 7 et les versions antérieures.
Sur la feuille de soins, on trouve aussi Office. Le bulletin MS16-054 y corrige quatre failles de nature comparable (mauvais traitement des objets en mémoire), mais qui touchent différentes versions de la suite bureautique ou certaines composantes en particulier (Word par exemple pour la CVE-2016-0198).
Le bulletin MS16-055 concerne le composant Microsoft Graphics. Cinq failles sont résorbées, dont les CVE-2016-0168 et CVE-2016-0169, qui peuvent entraîner la divulgation d’informations permettant de compromettre davantage le système de l’utilisateur. On relèvera aussi la vulnérabilité CVE-2016-0184, liée à la réutilisation d’adresses mémoire libérées dans Direct3D.
Une seule faille figure dans le bulletin MS16-056, qui concerne le Journal Windows. Même chose pour le MS16-057, applicable à Windows Shell.
Ultime bulletin critique : celui destiné à Flash Player (MS16-064). Il reprend en fait les correctifs diffusés par Adobe dans son dernier patch, avec 24 failles au compteur.
Crédit photo : Nomad_Soul – Shutterstock.com
Microsoft lance Phi-3-mini, un petit modèle de langage (SLM) qui s'adresse aux entreprises ne disposant…
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…