Pour gérer vos consentements :

Patch Tuesday : une belle moisson d’avril pour Microsoft

Microsoft reste sur un rythme soutenu avec le Patch Tuesday d’avril 2016 : pas moins de 13 bulletins de sécurité corrigeant une trentaine de failles.

Windows, Office, Edge et Internet Explorer figurent en bonne position sur la feuille de soins.

Les deux navigateurs Web font chacun l’objet d’un bulletin dédié.

Pour Internet Explorer, c’est le MS16-037, qui colmate six vulnérabilités, dont quatre ont trait à une altération de mémoire : le butineur accède de façon incorrecte à certains objets, ce qui peut permettre à un tiers d’exécuter du code à distance avec le niveau de privilèges de la session en cours.

Les deux autres failles concernent le chargement des DLL et plus particulièrement la validation préalable des entrées. Le patch modifie la façon dont ce traitement est effectué, aussi bien sur les postes de travail que les serveurs, pour toutes les versions d’IE encore prises en charge.

Edge est concerné par le bulletin MS16-038. On retrouve les mêmes soucis d’altération de mémoire, ainsi que deux failles liée au fait que le navigateur n’applique pas correctement les stratégies inter-domaines.

Le bulletin MS16-039 porte sur le composant Microsoft Graphics. Là aussi, on parle corruption de mémoire, plus précisément lorsque la bibliothèque de polices Windows traite de manière incorrecte les polices incorporées spécialement conçues. Outre l’OS, .NET Framework est touché, au même titre que Skype (Enterprise 2016) et Lync (2010, 2013).

Les XML Core Services ont aussi droit à un bulletin critique (MS16-040) qui résorbe des brèches situées au niveau de l’analyseur traitant les entrées utilisateur.

Pour toutes les versions d’Office depuis la 2007, il faut chercher dans le bulletin MS16-042. Des fichiers spécialement conçus pourraient permettre à des tiers de corrompre la mémoire et d’injecter du code, y compris dans des services annexes comme les visionneuses Word et Excel.

Pas de Patch Tuesday sans Flash Player ? Depuis quelques mois, Microsoft diffuse des correctifs pour le greffon d’Adobe et la session d’avril n’y déroge pas. Dix failles sont corrigées, exploitables via Internet Explorer ou via des contrôles ActiveX dans des applications qui hébergent le moteur de rendu du navigateur.

Crédit photo : Nomad_Soul – Shutterstock.com

Recent Posts

PC Copilot+ : une porte d’entrée vers l’ IA locale ?

Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…

2 semaines ago

PCIe 5.0 : La révolution des cartes-mères est-elle en marche ?

Que vous soyez un novice dans le domaine informatique, ou avec un profil plus expérimenté,…

3 semaines ago

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 mois ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

3 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

3 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

4 mois ago