Microsoft reste sur un rythme soutenu avec le Patch Tuesday d’avril 2016 : pas moins de 13 bulletins de sécurité corrigeant une trentaine de failles.
Windows, Office, Edge et Internet Explorer figurent en bonne position sur la feuille de soins.
Les deux navigateurs Web font chacun l’objet d’un bulletin dédié.
Pour Internet Explorer, c’est le MS16-037, qui colmate six vulnérabilités, dont quatre ont trait à une altération de mémoire : le butineur accède de façon incorrecte à certains objets, ce qui peut permettre à un tiers d’exécuter du code à distance avec le niveau de privilèges de la session en cours.
Les deux autres failles concernent le chargement des DLL et plus particulièrement la validation préalable des entrées. Le patch modifie la façon dont ce traitement est effectué, aussi bien sur les postes de travail que les serveurs, pour toutes les versions d’IE encore prises en charge.
Edge est concerné par le bulletin MS16-038. On retrouve les mêmes soucis d’altération de mémoire, ainsi que deux failles liée au fait que le navigateur n’applique pas correctement les stratégies inter-domaines.
Le bulletin MS16-039 porte sur le composant Microsoft Graphics. Là aussi, on parle corruption de mémoire, plus précisément lorsque la bibliothèque de polices Windows traite de manière incorrecte les polices incorporées spécialement conçues. Outre l’OS, .NET Framework est touché, au même titre que Skype (Enterprise 2016) et Lync (2010, 2013).
Les XML Core Services ont aussi droit à un bulletin critique (MS16-040) qui résorbe des brèches situées au niveau de l’analyseur traitant les entrées utilisateur.
Pour toutes les versions d’Office depuis la 2007, il faut chercher dans le bulletin MS16-042. Des fichiers spécialement conçus pourraient permettre à des tiers de corrompre la mémoire et d’injecter du code, y compris dans des services annexes comme les visionneuses Word et Excel.
Pas de Patch Tuesday sans Flash Player ? Depuis quelques mois, Microsoft diffuse des correctifs pour le greffon d’Adobe et la session d’avril n’y déroge pas. Dix failles sont corrigées, exploitables via Internet Explorer ou via des contrôles ActiveX dans des applications qui hébergent le moteur de rendu du navigateur.
Crédit photo : Nomad_Soul – Shutterstock.com
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…