-- Rappel des correctifs 2 --

Adobe_PDFAdobe live une mise à jour de sécurité d'Adobe Reader et Acrobat. Pour Adobe Reader, toutes les plateformes sont concernées afin de faire passer le lecteur PDF en version 9.4. À noter que pour les systèmes UNIX, cette version 9.4 est à télécharger via un miroir ftp. Elle sera proposée depuis le centre de téléchargement d'Adobe à partir du 21 octobre.

La mise à jour d'Adobe Reader permet de combler un total de 23 vulnérabilités. Un total conséquent mais il s'agit de la fournée trimestrielle de correctifs de sécurité qui a été anticipée d'une semaine. La principale cause de cette publication intervenue plus tôt que prévu est l'exploitation active d'une vulnérabilité.

Dévoilée début septembre, cette faille d'exécution de code arbitraire à distance a été classée avec un niveau de dangerosité maximal par la plupart des sociétés de sécurité. Elle est due à un dépassement de tampon lors du traitement des polices de caractère dans le module CoolType.dll. Pour une exploitation, l'utilisateur doit ouvrir un fichier PDF spécialement conçu.

Le code exploit est à même de fonctionner même sous Windows 7 et Vista en passant outre les technologies de protection ASLR ( Address Space Layout Randomization ) et DEP ( Data Execution Prevention). Quelques jours après l'avis de sécurité d'Adobe, Microsoft avait d'ailleurs proposé une solution afin de bloquer les attaques.

À souligner que la mise à jour d'Adobe permet de corriger un trou de sécurité qui affectait également Flash Player avant la mise à jour de ce dernier fin septembre.

Source ==> http://www.generation-nt.com

Le 12 octobre sera à marquer d’une pierre blanche. Microsoft diffusera à cette date la plus grosse mise à jour de sécurité à destination de ses logiciels. Cela se déroulera à l’occasion de son traditionnel patch tuesday du mois d'octobre. L’éditeur prévoit de combler 49 failles, soit 16 bulletins de sécurité. Le précédent record datait du mois d’août dernier (14 bulletins, 34 vulnérabilités). Ces correctifs s’appliquent aux systèmes d’exploitation (Windows XP, Vista et 7), aux versions serveur de l’OS, à Internet Explorer et à Office (2007, 2010, 2004 et 2008 pour Mac), notamment. Deux bulletins concernent aussi Office Web Apps, la suite bureautique en ligne de Microsoft. Certaines de ces failles pourraient permettre à un pirate d’exécuter du code à distance. Sur les 16 bulletins, 4 seulement sont jugés critiques. Autant dire que la mise à jour (automatique si Windows Update est paramétré par défaut) est fortement conseillée.

Source ==> http://www.01net.com

Vulnérabilités multiples dans Windows (12/10/10)

RESUME :
Seize nouveaux défauts de sécurité ont été identifiés dans le système Windows et ses composants (SafeHTML, Windows Kernel-Mode Drivers, Microsoft Foundation Classes, Media Player Network Sharing Service, Embedded OpenType Font Engine, .NET Framework, OpenType Font [OTF] Format Driver, Windows Common Control Library, COM Validation in Windows Shell et WordPad,Windows Local Procedure Call, SChannel et Windows Shared Cluster Disks). L'exploitation des failles les plus sévères permet à un individu malveillant ou à un virus d'exécuter du code malicieux sur l'ordinateur de sa victime via un fichier piégé ou une attaque conduite par le réseau informatique.

LOGICIEL(S) CONCERNE(S) :
Microsoft Windows 7
Microsoft Windows Vista
Microsoft Windows XP
Microsoft Windows 2000
Microsoft Windows 2008
Microsoft Windows 2003

RISQUE :
Critique

CORRECTIF :
Les utilisateurs concernés doivent appliquer immédiatement les correctifs correspondant à leur version de Windows via le service WindowsUpdate (en français) ou le site de l'éditeur, afin de prévenir toute exploitation malveillante.

Vulnérabilité critique dans Windows Media Player (12/10/10)

RESUME :
Un défaut de sécurité a été identifié dans Media Player, le lecteur multimédia intégré à Windows. L'exploitation d'une erreur dans la gestion des objets multimédia intégrés aux pages web permet à un individu malveillant ou à un virus d'exécuter à distance du code malicieux sur l'ordinateur de sa victime à l'ouverture d'une page web piégée.

LOGICIEL(S) CONCERNE(S) :
Microsoft Windows Media Player 12
Microsoft Windows Media Player 11
Microsoft Windows Media Player 10
Microsoft Windows Media Player 9

RISQUE :
Critique

CORRECTIF :
Les utilisateurs concernés doivent appliquer immédiatement le correctif correspondant à la version de leur logiciel via le service WindowsUpdate (en français) ou le site de l'éditeur, afin de prévenir toute exploitation malveillante.

INFORMATIONS COMPLEMENTAIRES :
-> Microsoft Security Bulletin MS10-082 (en anglais) http://www.microsoft.com/technet/security/Bulletin/MS10-082.mspx
-> FAQ : comment savoir si ce logiciel est installé sur mon ordinateur? http://www.secuser.com/faq/securite/index.htm#logiciels_installes
-> FAQ : comment déterminer le numéro de version de votre logiciel? http://www.secuser.com/faq/securite/index.htm#numero_version

Vulnérabilités critiques dans Word, Excel et Office (12/10/10)

RESUME :
Vingt-quatre nouveaux défauts de sécurité ont été identifiés dans le traitement de texte Word, le tableur Excel et les logiciels Office de Microsoft. Leur exploitation peut permettre à un individu malveillant ou à un virus d'exécuter à distance du code malicieux sur l'ordinateur de sa victime à l'ouverture d'un document Word, Excel ou Office piégé.

LOGICIEL(S) CONCERNE(S) :
Microsoft Excel 2007
Microsoft Excel 2003
Microsoft Excel 2002
Microsoft Word 2010
Microsoft Word 2007
Microsoft Word 2003
Microsoft Word 2002
Microsoft Word Web App
Microsoft Office 2010
Microsoft Office 2007
Microsoft Office 2003
Microsoft Office XP
Microsoft Office Web Apps
Microsoft Office Compatibility Pack
Microsoft Excel Viewer
Microsoft Word Viewer
Microsoft Office 2008 pour Mac
Microsoft Office 2004 pour Mac
Microsoft Open XML File Format Converter pour Mac

RISQUE :
Critique

CORRECTIF :
Les utilisateurs concernés doivent appliquer immédiatement les correctifs correspondant à la version de leurs logiciels via WindowsUpdate (Windows) ou Mactopia (Mac), ou en les téléchargeant sur le site de l'éditeur.

INFORMATIONS COMPLEMENTAIRES :
-> Microsoft Security Bulletin MS10-079 (en anglais) http://www.microsoft.com/technet/security/Bulletin/MS10-079.mspx
-> Microsoft Security Bulletin MS10-080 (en anglais) http://www.microsoft.com/technet/security/Bulletin/MS10-080.mspx
-> FAQ : comment savoir si ce logiciel est installé sur mon ordinateur? http://www.secuser.com/faq/securite/index.htm#logiciels_installes
-> FAQ : comment déterminer le numéro de version de votre logiciel? http://www.secuser.com/faq/securite/index.htm#numero_version

Mozilla publie une mise à jour de sécurité de son navigateur Web Firefox.

Firefox_Nouveau_Logo Alors que la septième version bêta de Firefox 4 a pris du retard sur le calendrier initial et pourrait faire son apparition la semaine prochaine, Mozilla vient de mettre en ligne une mise à jour de la version stable de son navigateur Web.

Firefox 3.6.11 a pour but de corriger plusieurs problèmes de sécurité, soit un peu moins d'une dizaine de failles dont cinq dites critiques. Parmi ces dernières, on retrouve une nouvelle fois la correction d'un problème de détournement de DLL.

Une fonction pour charger les bibliothèques logicielles externes utilisait un chemin d'accès relatif, d'où une vulnérabilité si un attaquant parvenait à placer un exécutable malveillant de même nom dans le répertoire de travail courant ou tout autre endroit recherché par Windows pour des exécutables. Sous Linux, une vulnérabilité similaire a également été découverte au niveau du script pour lancer le navigateur.

En plus de Firefox 3.6.11, une version 3.5.14 est également mise à disposition afin de combler les mêmes vulnérabilités.


Télécharger :

* Firefox 3.6.11
* Firefox 3.5.14

Mardi prochain, Microsoft livrera un Patch Tuesday relativement facile à digérer afin de corriger des vulnérabilités de sécurité dans Office et Forefront UAG.

office-2010-logoLe Patch Tuesday d'octobre 2010 a été celui de tous les records, tant au niveau du nombre de mises à jour de sécurité publiées que du nombre de failles comblées, soit respectivement 16 et 49. Celui de novembre 2010 aura alors des allures de légèreté avec seulement trois bulletins de sécurité pour un total de 11 vulnérabilités.

Une mise à jour critique sera à destination d'Office avec plusieurs versions supportées par Microsoft qui seront concernées, à savoir Office XP, 2003 et 2007 mais aussi Office 2010 sans compter le tout récent Office pour Mac 2011.

Ce qui est surprenant est de constater que si le bulletin est annoncé critique dans sa globalité, il ne l'est en réalité que pour Office 2007 et 2010 ( important pour les autres ). On peut donc penser qu'un problème existe au niveau des formats de fichiers introduits depuis Office 2007.

Une deuxième mise à jour importante sera plus sélective dans les versions d'Office en ne s'adressant qu'à Office XP et 2003 avec plus particulièrement l'application PowerPoint. La troisième et dernière mise à jour ( importante ) sera pour Microsoft Forefront Unified Access Gateway, la plateforme d'accès à distance de type VPN pour les entreprises.

Dans ce Patch Tuesday, Windows brille par son absence et c'est plutôt une bonne nouvelle pour la légèreté de la fournée de correctifs. Une absence est aussi remarquée, celle d'Internet Explorer alors qu'une faille 0-day existe. Pour le coup, cete absence devient plus embêtante, d'autant que Microsoft n'a pas prévu de publication en urgence afin de corriger le problème. Cela laisse donc une grande marge de manœuvre dans le temps à des cybercriminels pour attaquer. À voir si Microsoft aura alors eu raison de ne pas véritablement s'inquiéter au sujet de cette faille.


Source : http://www.generation-nt.com

Vulnérabilité dans phpBB

--- > Notes de la version 3.0.8 de phpBB du 20 novembre 2010

http://www.certa.ssi.gouv.fr/site/CERTA-2010-AVI-559/CERTA-2010-AVI-559.html

Mardi prochain, Microsoft prévoit de publier 17 bulletins de sécurité et ce sera donc un nouveau record en la matière. Pour le nombre total de vulnérabilités corrigées, il va s'élever à 40, le record de 49 d'octobre tient donc toujours.

Petite rétrospective 2010 de Microsoft pour annoncer que cette année ce sont 106 mises à jour de sécurité qui auront été publiées et... c'est un record ! Mais la firme de Redmond est loin de rougir et fournit des explications qui ont du sens.

Citation :

" Cela est en partie dû aux rapports de vulnérabilités qui augmentent légèrement dans les produits Microsoft. […] Ce n'est pas vraiment surprenant quand on pense aux cycles de vie des produits et à la nature de la recherche en vulnérabilités. Microsoft supporte des produits jusqu'à dix ans. […] Des produits anciens confrontés à de nouvelles méthodes d'attaques associé à une croissance globale du marché des vulnérabilités, le résultat est plus de rapports de vulnérabilités "

, déclare Mike Reavey, directeur du Microsoft Security Research Center.

Pour en revenir à l'ultime Patch Tuesday de 2010, il comportera des mises à jour pour combler des failles dans Windows, Office, Internet Explorer, SharePoint et Exchange. Sur les 17 mises à jour, seulement deux seront critiques, 14 importantes et une modérée.

Pour faire barrage au ver Stuxnet, Microsoft a déjà comblé trois vulnérabilités dans Windows. Une quatrième et ultime sera comblée mardi. Pour cette dernière, aucun rapport d'activité n'a toutefois été établi.

La firme de Redmond va également corriger la vulnérabilité dans Internet Explorer pour laquelle un avis de sécurité avait été émis au tout début du mois de novembre. Les versions 6, 7 et 8 d'IE sont affectées. Si la vulnérabilité a été activement exploitée depuis plusieurs semaines, Microsoft ne fait état que d'un nombre très bas d'attaques. Par ailleurs, les utilisateurs sous IE8 sont protégés dans la mesure où la protection Data Execution Prevention ( DEP ) est activée par défaut.

Source ==> http://www.generation-nt.com

Télécharger Java pour Windows