Une semaine après l'annonce d'une faille de sécurité dans Internet Explorer (voir notre news), une nouvelle faille de sécurité a été découverte dans Internet Explorer, le navigateur internet de Microsoft. Cette faille, qui a été reportée en tant que faille 0-day (ou critique), touche les versions 6 et 7 du navigateur.

En cas d'exploitation réussie, un utilisateur malveillant pourrait exécuter des commandes sur votre ordinateur et en prendre le contrôle à distance si vous n'êtes pas sur un compte limité. Actuellement, il n'y a aucun correctif pour cette faille qui ne nécessite aucune interaction avec l'utilisateur pour être exploitée. Cela signifie qu'une page Web, un document Office ou un Email (volontairement modifié) peuvent vous rendre vulnérable.

Microsoft signale que des attaques ont lieu pour essayer d'exploiter cette faille 0-day. En attendant le correctif de la faille, nous vous recommandons de passer à la version 8 d'Internet Explorer qui n'est pas touchée ou d'utiliser un autre navigateur internet.

Comme tous les mois, Microsoft a publié son lot de correctifs de sécurité. Pour ce Patch Tuesday du mois de mars, seuls deux bulletins sont disponibles.

Ce mois-ci, les bulletins concernent les applications Windows Movie Maker et Microsoft Excel. Les failles concernées par ces bulletins sont considérées comme importantes par Microsoft.

Pour mettre à jour votre ordinateur, il suffit de vous rendre sur Microsoft Update et d'y appliquer les mises à jour disponibles.

Source : Synthèse des Bulletins de sécurité Microsoft de mars 2010

Microsoft a publié un bulletin de sécurité indiquant qu'une faille de sécurité avait été découverte dans le navigateur Internet Explorer, cette dernière touche toutes les versions du navigateur.

Elle peut-être exploitée grâce à une vulnérabilité de VBScript et à une page internet infectée qui demandera à l'utilisateur d'appuyer sur la touche F1 (qui génère l'aide généralement). Si l'internaute le fait, il y aura une exécution de code arbitraire à distance ce qui est dangereux si la session utilisée est une session administrateur.

Systèmes d'exploitation concernés :

• Microsoft Windows 2000
• Windows XP home et professionnel
• Windows Server 2003

• Windows Vista
• Windows Server 2008
• Windows 7
• Windows Server 2008 R2

Comme chaque deuxième mardi du mois, Microsoft vient de publier une liste de correctifs pour ses applications. Pour ce Patch Tuesday du mois de février 2010, ce sont treize bulletins de sécurité qui sont publiés.

Parmi ces bulletins de sécurité, cinq sont jugés critiques par l'éditeur. Les logiciels impactés ce mois ci sont Microsoft Windows et Microsoft Office.

Nous vous recommandons d'effectuer les mises à jour le plus rapidement possible. En effet, en cas d'exploitation réussie, une personne malveillante pourrait prendre le contrôle de votre ordinateur à distance.

Source : Synthèse des Bulletins de sécurité Microsoft de février 2010

Microsoft a publié un bulletin de sécurité en dehors de son cycle habituel de mise à jour. Les corrections apportées concernent le navigateur Internet Explorer dans toutes ses versions (de la 5.01 à 8). La faille de sécurité 0-day révélée il y a quelques jours (cf. notre article News : Sécurité : Faille de sécurité 0-day détectée dans Internet Explorer) est également corrigée.

Cette faille de sécurité peut permettre à un utilisateur malveillant d'exécuter des commandes sur votre ordinateur à l'aide d'une page web spécialement conçue. Pour améliorer la sécurité de votre ordinateur, il est recommandé d'appliquer les mises à jour le plus rapidement possible.
Rendez-vous sur Windows Update pour mettre à jour votre navigateur.

Source : Synthèse des Bulletins de sécurité Microsoft de janvier 2010

Une faille de sécurité a été découverte dans Internet Explorer, le navigateur internet de Microsoft. Cette faille, qui a été reportée en tant que faille 0-day, touche les versions 6, 7 et 8 du navigateur.

En cas d'exploitation réussie, un utilisateur malveillant pourrait exécuter des commandes sur votre ordinateur et en prendre le contrôle à distance. Actuellement, il n'y a pas de correctif pour cette faille qui ne nécessite aucune interaction avec l'utilisateur pour être exploitée. Cela signifie qu'une page Web ou un Email (volontairement modifiée) peuvent vous rendre vulnérable.

En attendant le correctif de la faille, il est recommandé d'utiliser un autre navigateur internet. Pour les personnes ne pouvant pas changer de navigateur, Microsoft a publié plusieurs recommandations permettant de limiter l'impact de la faille :

• Mettre les paramètres de sécurité d'IE au niveau élevé
• Désactiver Active Scripting
• Activer la fonction Data Execution Protection (DEP) dans le navigateur.

• Microsoft Security Advisory (979352)
• Security Advisory 979352 Released
• Microsoft Internet Explorer DOM Operation Memory Corruption Vulnerability

Adobe vient de publier un correctif de sécurité pour Adobe Reader et Acrobat. Ces nouvelles versions (9.3) corrigent huit failles de sécurité dont plusieurs sont jugées critiques, y compris celle dont nous vous parlions le mois dernier (cf. notre news Faille de sécurité critique (0-day) dans Adobe Reader et Acrobat). Ces failles touchent Adobe Reader 9.2 et Acrobat 9.2 pour Windows, Mac et Linux ainsi que Adobe Reader 8.1.7 et Acrobat 8.1.7 pour Windows et Mac (les versions antérieures sont également impactées).

Ces failles peuvent causer un plantage et permettre à un utilisateur malveillant de prendre le contrôle de l'ordinateur sans être remarqué. Adobe recommande de passer aux versions 9.3 afin de corriger ces failles. Pour les utilisateurs d'Adobe Reader et d'Acrobat qui ne pourraient pas faire la mise à jour vers la version 9.3, Adobe propose une version 8.2.


Sources et informations :

• Security update released for Adobe Reader and Acrobat (Anglais)
• Security updates available for Adobe Reader and Acrobat (Anglais)

Comme chaque deuxième mardi du mois, Microsoft vient de publier son bulletin de sécurité. Pour ce premier patch tuesday du mois de janvier 2010, une seule faille de sécurité est corrigée.

En effet, la vulnérabilité corrigée ce mois-ci concerne l'affichage des polices de caractères Embedded OpenType (EOT). La faille peut être exploitée lorsqu'un logiciel affiche une police de caractères volontairement modifiée. Parmi les logiciels concernés par cette faille, nous pouvons citer Internet Explorer, ou encore les applications Microsoft Office.

Cette faille a été jugée critique pour Windows 2000, et jugée faible pour les autres systèmes d'exploitation de Microsoft.

Pour améliorer la sécurité de votre ordinateur, nous vous recommandons d'utiliser la fonction Windows Update dès que possible.

Source : Synthèse des Bulletins de sécurité Microsoft de janvier 2010

Adobe vient d'annoncer l'existence d'une faille critique dans les logiciels Adobe Reader et Acrobat. La faille toucherait les versions actuelles et antérieures de Adobe Reader 9.2 (pour Windows, Mac et Linux) et Adobe Acrobat 9.2 (pour Windows et Mac).

La faille peut permettre à un utilisateur malveillant de prendre le contrôle de l'ordinateur à distance. La faille est actuellement exploitée (faille 0-day), nous vous conseillons donc de n'ouvrir que les fichiers PDF venant de sources sûres et d'utiliser un autre lecteur de fichiers PDF tel que Sumatra PDF.

Adobe pense pouvoir livrer un correctif vers le 12 janvier 2010 et conseille de désactiver Acrobat JavaScript, pour cela aller dans Edition > Préférences > JavaScript.

Sources et informations :

• New Adobe Reader and Acrobat Vulnerability (Anglais)
• Security Advisory for Adobe Reader and Acrobat (Anglais)
• Nouvelle vulnérabilité immédiate des logiciels Adobe Reader et Acrobat

La Fondation Mozilla vient de publier la version 3.5.6 de son navigateur internet Firefox. Cette nouvelle version corrige quelques problèmes de stabilité ainsi que plusieurs failles de sécurité, dont trois sont jugées critiques par l'éditeur.

Il est recommandé de mettre à jour le navigateur le plus rapidement possible.

Pour mettre à jour votre navigateur, il suffit d'utiliser la fonction de mise à jour intégrée au navigateur (un exemple est disponible ici : Comment mettre à jour le navigateur Firefox ?)

Sources :

* Quoi de neuf dans Firefox 3.5.6 ?
* Fixed in Firefox 3.5.6