Le hotte de Microsoft ne sera pas vide cette année puisque la firme de Redmond nous propose pour le mois de décembre pas moins de 6 rustines, dont 3 critiques afin de corriger 12 failles de sécurité.
Ajoutez à la liste l'habituelle mise à jour de l'
outil de suppression des logiciels malveillants et vous voici gâté pour Noël.
Vulnérabilités dans le service d'authentification Internet
- Type de mise à jour : Critique
Cette mise à jour de sécurité corrige deux vulnérabilités signalées confidentiellement dans Microsoft Windows. Ces vulnérabilités pourraient permettre l'exécution de code à distance si des messages reçus par le serveur du service d'authentification Internet sont copiés de façon incorrecte dans la mémoire lors du traitement des tentatives d'authentification PEAP. Un attaquant qui parviendrait à exploiter l'une de ces vulnérabilités pourrait prendre le contrôle intégral d'un système affecté. Les serveurs utilisant le service d'authentification Internet sont uniquement concernés lors de l'utilisation de l'authentification PEAP avec MS-CHAP v2.
Vulnérabilité dans Microsoft Office Project
- Type de mise à jour : Critique
Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement dans Microsoft Office Project. Cette vulnérabilité pourrait permettre l'exécution de code à distance si un utilisateur ouvrait un fichier Project spécialement conçu. Tout attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral du système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges.
Mise à jour de sécurité cumulative pour Internet Explorer
- Type de mise à jour : Critique
Cette mise à jour de sécurité corrige quatre vulnérabilités signalées confidentiellement et une vulnérabilité révélée publiquement dans Internet Explorer. Ces vulnérabilités pourraient permettre l'exécution de code à distance si un utilisateur affichait une page Web spécialement conçue à l'aide d'Internet Explorer. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur. Un contrôle ActiveX créé avec des en-têtes Microsoft ATL (Active Template Library) pourrait également permettre l'exécution de code à distance.
Vulnérabilité dans le service LSASS
- Type de mise à jour : Important
Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement dans Microsoft Windows. Cette vulnérabilité pourrait permettre un déni de service si un attaquant à distance authentifié envoyait un message ISAKMP spécialement conçu en communiquant via IPsec (Internet Protocol Security) au service LSASS (Local Security Authority Subsystem Service) sur un système affecté.
Vulnérabilités dans ADFS
- Type de mise à jour : Important
Cette mise à jour de sécurité corrige deux vulnérabilités signalées confidentiellement dans Microsoft Windows. La plus grave de ces vulnérabilités pourrait permettre l'exécution de code à distance si un attaquant envoyait une requête HTTP spécialement conçue à un serveur Web avec ADFS activé. Pour exploiter l'une de ces vulnérabilités, un attaquant devrait être authentifié.
Vulnérabilité dans WordPad et Office
- Type de mise à jour : Important
Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement dans les convertisseurs de texte de Microsoft WordPad et Microsoft Office. Cette vulnérabilité pourrait permettre l'exécution de code à distance si un fichier Word 97 spécialement conçu était ouvert dans WordPad ou dans Microsoft Office Word. Tout attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur.
Comme à l'accoutumée, vous pouvez soit télécharger les mises à jour suivantes via le
centre de téléchargement Microsoft, soit grâce à
Windows Update.
Commentaires |
Imprimer |
Ajouter à :