Pour gérer vos consentements :
Categories: Sécurité

Patch Tuesday : Microsoft reste en régime critique

Avec 16 bulletins de sécurité, dont 5 critiques, pour une cinquantaine de failles corrigées, le Patch Tuesday de juin 2016 est d’un volume comparable à celui du mois précédent.

Les deux navigateurs Web de Microsoft figurent à nouveau en bonne position sur la feuille de soins.

Internet Explorer est couvert par le bulletin MS16-063, qui colmate 10 failles d’une importance modérée sur les éditions Serveur de Windows… et critique sur les postes clients. Plusieurs d’entre elles peuvent donner lieu à l’exécution de code à distance sur les machines visées.

Huit de ces vulnérabilités ont trait à une corruption de la mémoire : trois à cause d’un mauvais accès à certains objets et cinq au niveau des moteurs de rendu JScript9, JScript et VBScript. Les deux autres concernent respectivement le filtre XSS et le protocole Web Proxy Auto Discovery.

Pour trouver trace d’Edge, c’est dans le bulletin MS16-068, qui corrige 8 failles. L’une d’entre elles se trouve au niveau du Content Security Policy (CSP), ce standard qui permet aux développeurs Web de contrôler les ressources qu’une page peut appeler ou exécuter.

Le moteur de rendu JavaScript Chakra n’est pas épargné avec 4 vulnérabilités à son actifs. La visionneuse PDF en abrite trois, dont deux pouvant entraîner la fuite de données.

Vista toujours présent

Le bulletin MS16-069, également classé critique, est particulier. Il résorbe en l’occurrence trois failles dans des versions anciennes des moteurs JScript et VBScript : les 5.7 et 5.8, utilisées jusqu’à Internet Explorer 7… exploité sur des OS encore pris en charge (Windows Vista et Windows Server 2008). Pour IE8 et les moutures ultérieures, c’est du côté du MS16-063 que ça se passe.

Office n’échappe pas au Patch Tuesday. La suite bureautique est au cœur du bulletin MS16-070.

Sur les quatre failles corrigées, deux peuvent permettre l’exécution de code à distance. Il s’agit de la CVE-2016-0025 (qui touche Office 2007, 2010 et 2016, ainsi que Word en versions 2007 à 2016) et de la CVE-2016-3233 (qui touche Excel 2007 et 2010).

La CVE-2016-3234, qui concerne Word 2007, Word 2010, Office 2010, ainsi que les Word Automation Services sur SharePoint 2010 et 2013, peut permettre à un tiers d’accéder à des données s’il connaît la zone mémoire dans laquelle certains objets sont stockés. La CVE-2016-3235 affecte quant à elle Visio 2007 à 2016.

Dernier bulletin critique : le MS16-071, qui élimine une faille de type « use-after-free » (écriture d’une adresse mémoire libérée) liée à une mauvaise gestion des requêtes par les serveurs DNS de Windows Server 2012 et 2012 R2.

Au reste du menu figurent l’explorateur Windows, Active Directory, la visionneuse PDF, Exchange Server, le gestionnaire de tâches de Windows 10, Netlogon, Windows SMB Server, Microsoft Graphics et divers pilotes.

Crédit photo : shutteratakan – Shutterstock.com

Recent Posts

IA et RGPD : sont-ils compatibles ?

Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…

2 semaines ago

Windows 10 : quel coût pour le support étendu ?

Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…

3 semaines ago

Cybersécurité : la plan de Docaposte pour convaincre les PME

Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…

4 semaines ago

Surface Pro 10 : plus autonome et un peu plus réparable

La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…

4 semaines ago

Office 2024 : ce qu’on sait de la prochaine version

Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…

1 mois ago

Microsoft Teams : comment fonctionne le double usage « pro-perso »

Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…

1 mois ago