Patch Tuesday : des failles zero day prises en charge sur Microsoft Office et IE

Le Patch Tuesday de Microsoft pour novembre 2013 est disponible (8 bulletins diffusés pour 19 vulnérabilités recensées) pour des mises à jour de sécurité pour Windows et des applications Microsoft Office.

Cet expert en sécurité IT estime qu’il s’agit d’un Patch Tuesday « de taille moyenne », estime Wolfgang Kandek, CTO de Qualys (gestion des vulnérabilités).

Plus globalement, le Patch Tuesday propose trois mises à jour « critiques » concernent IE et Windows tandis que cinq mises à jour « importantes » portent sur Office et Windows.

Signe particulier de la livraison du mois : la prise en compte de la vulnérabilité Zero Day « critique » repérée dans un composant de traitement des graphiques TIFF utilisé par Microsoft Office (versions 2003, 2007 et 2010) et des versions plus anciennes de Windows (avis de sécurité KB2896666).

Les attaques recensées seraient limitées au Moyen-Orient et à l’Asie du Sud et sont menées via des documents Microsoft Word et la vulnérabilité est présente dans Microsoft Office.

« Aucun patch n’est encore disponible, mais il existe une solution de contournement à l’impact relativement faible », estime Wolfgang Kandek, dans une note de Qualys diffusée à la presse.

Une autre faille Zero Day inquiétait les experts en sécurité IT. Celle concernant le navigateur Internet Explorer qui avait été repérée la semaine dernière.

Du  coup, Microsoft fournit un vrai correctif visant à colmater le module affecté ActiveX control Information Card Signin Helper.

Sachant que le vecteur d’attaque était une page Web infectée configurée pour des assauts de type « drive-by download »  (infection d’un ordinateur lors d’une simple visite d’un site Web).

—————————-

Quiz : Connaissez-vous vraiment les sites de rencontres ?

—————————-

Credit photo : Shutterstock.com –  Copyright: Natthawat Wongrat