Facebook a réussi le vol d'essai de son drone Aquila qui doit fournir une connexion Internet très haut débit aux populations n'y ayant pas accès.

L'Image du jour

Facebook a réussi le vol d'essai de son drone Aquila qui doit fournir une connexion Internet très haut débit aux populations n'y ayant pas accès.

Silicon Valley 2016 : Cap sur l'innovation technologique (1e partie)

Dernier Dossier

Silicon Valley 2016 : Cap sur l'innovation technologique (1e partie)

En mars et juin dernier, nous avons passé un peu de temps à San Francisco et dans la Silicon Valley avec une dizaine de journalistes européens pour le...

Restez proche de l'actualité IT

NEWSLETTERS THEMATIQUES

Découvrez nos différentes newsletters adaptées à vos besoins d'actualités IT Pro : Mobilité, Réseaux, Stockages, ...

Abonnez-vous 
FERMER

LMI MARKET

Votre comparateur de prestataires IT : Comparez les devis, Evaluez les prestataires, Trouvez le juste prix!...

Accéder à ce service 

BLOG

Découvrez les contenus exclusifs publiés par les lecteurs du Monde Informatique avec la plateforme LMI Blog...

Accéder à ce service 

COMPARATEUR DE SALAIRE

Partagez votre situation salariale anonymement, consultez les statistiques depuis 2009 et faites vos propres analyses...

Accéder à ce service 

IT TOUR

LMI vous invite à sa Matinée-Débats dans votre région.
Inscrivez-vous

Accéder au site 
FERMER
0
Réagissez Imprimer Envoyer

Patch Tuesday sept 2015 : Des correctifs pour Exchange, Active Directory et Edge

Le dernier Patch Tuesday corrige plusieurs failles dans le navigateur Edge.

Le dernier Patch Tuesday corrige plusieurs failles dans le navigateur Edge.

Dans son dernier Patch Tuesday, Microsoft a publié 4 correctifs de sécurité pour son dernier navigateur web Edge, alors son aîné Internet Explorer en a obtenu 17.

Arrivé, il y a un peu plus d'un mois, le navigateur Microsoft Edge a reçu un ensemble de correctifs de sécurité de niveau critiques. Dans le cadre de son habituelle livraison mensuelle de rustines, auparavant connue sous le nom de Patch Tuesday, Microsoft a publié un bulletin critique, MS15-05, avec quatre correctifs couvrant plusieurs vulnérabilités dans le navigateur livré avec Windows 10. Depuis un mois, Microsoft a publié un total de 12 rustines pour Edge couvrant 56 vulnérabilités. Cinq failles ont été jugées comme- critique, ce qui signifie qu'elles doivent être corrigées dès que possible.

En plus de son navigateur Edge, les patchs de ce mois couvrent des vulnérabilités dans Internet Explorer, Windows, Office, Exchange, le framework .NET, la machine virtuelle Hyper-V, Active Directory, et Skype for Business.

Nouveau navigateur mais anciennes failles

Depuis plusieurs mois, Microsoft présente Edge comme son navigateur de nouvelle génération pour Windows, destiné à remplacer Internet Explorer au fil du temps. Mais les vulnérabilités d’Edge divulgués ce mois-ci par Microsoft ont également été trouvés dans Internet Explorer, (MS15-094 par exemple), a souligné Wolfgang Kandek, directeur de la technologie pour la firme de sécurité informatique Qualys. La nouvelle génération doit donc encore beaucoup à l’ancienne. Les doublons montrent le chevauchement de code entre Edge et IE, ce qui indique que l'équipe de développement d’Edge a réutilisé au moins une partie du code d’IE, précise le chercheur en sécurité. « Quelqu'un pourrait vous attaquer, si vous avez Internet Explorer ou Edge, en utilisant une page web spécialement conçue», a déclaré M. Kandek.

Mais le fait qu’Edge affiche moins de vulnérabilités qu’IE (17 ans déjà) ce mois-ci, montre que les efforts de Microsoft pour construire un navigateur plus sûr semblent porter ses fruits, ajoute M. Kandek. Ce la montre aussi combien il est difficile d'écrire un logiciel sans erreur de code et à l'abri des assaillants, a-t-il dit. Parce que Windows 10 n'a pas encore été largement installé dans les entreprises, la correction des failles d’Edge n’est pas une priorité pour les administrateurs. Ils doivent par contre s’attarder sur les correctifs MS15-097 et MS15-099, qui décrivent un certain nombre de vulnérabilités critiques trouvées dans Office 2007 et 2010, conseille Amol Sarwate, directeur technique chez Qualys. « Il existe déjà des attaques » qui utilisent ces vulnérabilités. Beaucoup de ces failles sont exploitable à distance, ce qui signifie que l'utilisateur n'a besoin que d'ouvrir un document Excel ou Word malveillant, et le code peut s’exécuter et lancer des actions au sein du poste de travail à l'insu de l'utilisateur.

2 autres failles dans Exchange et active Directory

Les entreprises utilisant Microsoft Exchange et Active Directory devraient également jeter un oeil attentif aux bulletins MS15-096 et MS15-103. La première vulnérabilité pourrait permettre à un attaquant de modifier les fichiers d'un utilisateur via le client Outlook Web Access (OWA). La faille Active Directory rend le logiciel vulnérable à une attaque par déni de service (DoS). Active Directory est typiquement une application critique pour les entreprises. Elle garde la trace de tous les comptes d'utilisateurs, et elle n’est généralement pas exposée aux menaces Internet. Mais les administrateurs devraient rester vigilants et la patcher sans attendre.
« Si quelqu'un entre par effraction dans votre réseau, Active Directory peut être la première chose qu'ils essayeront d'attaquer », a déclaré M. Sarwate.

Cette année, Microsoft a publié 105 bulletins, et Qualys estime que ce nombre atteindra 145 d'ici la fin de l'année. Cela représente une hausse si on considérer les dernières années. En 2014, Microsoft a publié 106 bulletins et 100 en 2011. « Je ne pense pas que les logiciels soient de plus en plus vulnérables», a déclaré M. Kandek. Un nombre croissant de vulnérabilités sont découvertes par des chercheurs et des hackers qui peuvent croiser les failles sur plusieurs générations de logiciels. « C’est un bon indicateur de l'importance accordée à la sécurité »a déclaré M. Kandek.

Article de

Commenter cet article

commenter cet article en tant que membre LMI

CONNEXION

Commenter cet article en tant que visiteur






* Les liens HTML sont interdits dans les commentaires

Publicité
35 ans
15 Octobre 1993 n°561
Publicité
Publicité