Pour gérer vos consentements :
Categories: Sécurité

Patch Tuesday : Microsoft reste en régime critique

Avec 16 bulletins de sécurité, dont 5 critiques, pour une cinquantaine de failles corrigées, le Patch Tuesday de juin 2016 est d’un volume comparable à celui du mois précédent.

Les deux navigateurs Web de Microsoft figurent à nouveau en bonne position sur la feuille de soins.

Internet Explorer est couvert par le bulletin MS16-063, qui colmate 10 failles d’une importance modérée sur les éditions Serveur de Windows… et critique sur les postes clients. Plusieurs d’entre elles peuvent donner lieu à l’exécution de code à distance sur les machines visées.

Huit de ces vulnérabilités ont trait à une corruption de la mémoire : trois à cause d’un mauvais accès à certains objets et cinq au niveau des moteurs de rendu JScript9, JScript et VBScript. Les deux autres concernent respectivement le filtre XSS et le protocole Web Proxy Auto Discovery.

Pour trouver trace d’Edge, c’est dans le bulletin MS16-068, qui corrige 8 failles. L’une d’entre elles se trouve au niveau du Content Security Policy (CSP), ce standard qui permet aux développeurs Web de contrôler les ressources qu’une page peut appeler ou exécuter.

Le moteur de rendu JavaScript Chakra n’est pas épargné avec 4 vulnérabilités à son actifs. La visionneuse PDF en abrite trois, dont deux pouvant entraîner la fuite de données.

Vista toujours présent

Le bulletin MS16-069, également classé critique, est particulier. Il résorbe en l’occurrence trois failles dans des versions anciennes des moteurs JScript et VBScript : les 5.7 et 5.8, utilisées jusqu’à Internet Explorer 7… exploité sur des OS encore pris en charge (Windows Vista et Windows Server 2008). Pour IE8 et les moutures ultérieures, c’est du côté du MS16-063 que ça se passe.

Office n’échappe pas au Patch Tuesday. La suite bureautique est au cœur du bulletin MS16-070.

Sur les quatre failles corrigées, deux peuvent permettre l’exécution de code à distance. Il s’agit de la CVE-2016-0025 (qui touche Office 2007, 2010 et 2016, ainsi que Word en versions 2007 à 2016) et de la CVE-2016-3233 (qui touche Excel 2007 et 2010).

La CVE-2016-3234, qui concerne Word 2007, Word 2010, Office 2010, ainsi que les Word Automation Services sur SharePoint 2010 et 2013, peut permettre à un tiers d’accéder à des données s’il connaît la zone mémoire dans laquelle certains objets sont stockés. La CVE-2016-3235 affecte quant à elle Visio 2007 à 2016.

Dernier bulletin critique : le MS16-071, qui élimine une faille de type « use-after-free » (écriture d’une adresse mémoire libérée) liée à une mauvaise gestion des requêtes par les serveurs DNS de Windows Server 2012 et 2012 R2.

Au reste du menu figurent l’explorateur Windows, Active Directory, la visionneuse PDF, Exchange Server, le gestionnaire de tâches de Windows 10, Netlogon, Windows SMB Server, Microsoft Graphics et divers pilotes.

Crédit photo : shutteratakan – Shutterstock.com

Recent Posts

PC Copilot+ : une porte d’entrée vers l’ IA locale ?

Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…

2 semaines ago

PCIe 5.0 : La révolution des cartes-mères est-elle en marche ?

Que vous soyez un novice dans le domaine informatique, ou avec un profil plus expérimenté,…

3 semaines ago

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 mois ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

3 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

3 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

4 mois ago