Le Raspberry Pi est désormais disponible dans une cuvée Compute Module 3 taillée pour faire tourner des applications industrielles.

L'Image du jour

Le Raspberry Pi est désormais disponible dans une cuvée Compute Module 3 taillée pour faire tourner des applications industrielles.

La refonte du SI face à la transformation numérique

Dernier Dossier

La refonte du SI face à la transformation numérique

La meilleure façon d'illustrer la transformation numérique est d'apporter des témoignages concrets d'entreprises. C'est dans cette optique que la...

Restez proche de l'actualité IT

NEWSLETTERS THEMATIQUES

Découvrez nos différentes newsletters adaptées à vos besoins d'actualités IT Pro : Mobilité, Réseaux, Stockages, ...

Abonnez-vous 
FERMER

LMI MARKET

Votre comparateur de prestataires IT : Comparez les devis, Evaluez les prestataires, Trouvez le juste prix!...

Accéder à ce service 

BLOG

Découvrez les contenus exclusifs publiés par les lecteurs du Monde Informatique avec la plateforme LMI Blog...

Accéder à ce service 

COMPARATEUR DE SALAIRE

Partagez votre situation salariale anonymement, consultez les statistiques depuis 2009 et faites vos propres analyses...

Accéder à ce service 

IT TOUR

LMI vous invite à sa Matinée-Débats dans votre région.
Inscrivez-vous

Accéder au site 
FERMER
1
Réagissez Imprimer Envoyer

Un Patch Tuesday léger pour ce début d'année

Le Patch Tuesday de janvier contient une mise à jour de correctifs pour les administrateurs avec des risques d'attaque DoS non authentifiée pour Server 2008 et d'exécution de code à distance pour Word 2016.

Le Patch Tuesday de janvier contient une mise à jour de correctifs pour les administrateurs avec des risques d'attaque DoS non authentifiée pour Server 2008 et d'exécution de code à distance pour Word 2016.

Microsoft vient de publier un de ses plus petits packs de sécurité corrigeant des vulnérabilités dans Edge, Office et Windows.

Comme tous les mois, Microsoft a diffusé un ensemble de correctifs pour ses produits, mais il s’agit cette fois d’un lot étonnamment petit avec seulement trois vulnérabilités corrigées. Si les patchs sont répartis dans quatre bulletins de sécurité, signalons que l'un est dédié à Flash Player, pour lequel Microsoft distribue des correctifs via sa plate-forme Windows Update. « Cela pourrait être le calme avant la tempête », a déclaré Chris Goettl, chef de produit au sein du cabinet de gestion des correctifs Shavlik. « On n'a pas vu un Patch Tuesday de ce type depuis Janvier 2014. Pour le mois prochain, attendez-vous à quelques ajustements et un Patch Tuesday plus lourd, d’autant que Microsoft modifie sa méthode de distribution ».

Le seul bulletin de sécurité critique est le MS17-002 pour Office et Office Web Apps et concerne une vulnérabilité touchant la corruption de la mémoire. Une fois exploitée, elle peut permettre à un attaquant d’envoyer un fichier malveillant sous la forme d’une pièce jointe spécialement conçue pour exécuter un code à distance.

Des correctifs bienvenus puisque les failles sont publiques 

Un autre bulletin (CVE-2017-0002) pour Edge, le navigateur de Microsoft, couvre un défaut d'élévation de privilèges qui peut tromper les utilisateurs en affichant une page web spécialement conçue. « Il permet à un attaquant d'accéder aux informations d'un domaine et de les injecter dans un autre pour obtenir des privilèges élevés », indique Amol Sarwate,  directeur du Vulnerability Labs de Qualys. Microsoft note ce bulletin comme important et la vulnérabilité a été divulguée publiquement avant la disponibilité du patch.

Le troisième bulletin (CVE-2017-0004) couvre un problème de déni de service dans Windows Vista, Windows 7, Windows Server 2008 et Windows Server 2008 R2. La faille est située dans le Service Authority Subsystem LSASS (Local Security) destiné aux administrateurs. Des demandes d'authentification peuvent être exploitées afin de redémarrer le système. La vulnérabilité LSASS est considérée comme importante, et a été dévoilée publiquement avant la disponibilité du correctif et un exploit (PoC) pourrait bientôt voir le jour.

Une plate-forme accessible depuis une API 

Signalons enfin qu’à partir du mois prochain, Microsoft publiera les détails sur les failles et les correctifs sur un nouveau portail appelé Guide des mises à jour de sécurité. Ce dernier donnera aux utilisateurs une plus grande souplesse dans la façon dont ils recherchent et affichent les informations sur les problèmes de sécurité. Par exemple, les utilisateurs seront en mesure de trier et filtrer les données par CVE en fonction de la vulnérabilité, du numéro de l'article, du produit ou la date de sortie. Ils seront même en mesure de filtrer les produits et d’accéder à l'information par le biais d'une API. « Plutôt que de devoir parcourir une liste de documents, cette méthode permettra de trier, rechercher et filtrer la base de données pour y trouver des détails sur un bulletin de sécurité particulier et ses mises à jour associées », assure Amol Sarwate.

Article de

COMMENTAIRES de l'ARTICLE1

le 12/01/2017 à 08h20 par Visiteur10192 :

"Un Patch Tuesday léger pour ce début d'année". En effet toujours selon une source confidentielle, Microsoft a pu relancer la fabrication et la diffusion d'un patch aussi ténu soit-il pour sa clientèle. On a eu chaud !

Signaler un abus

Commenter cet article

commenter cet article en tant que membre LMI

CONNEXION

Commenter cet article en tant que visiteur






* Les liens HTML sont interdits dans les commentaires

#LMItoutneuf

lancement dans

Publicité
Publicité
Publicité