L'année 2016 étant presque arrivée, Microsoft a publié sa dernière mise à jour «Patch Tuesday» pour l'année. Cette mise à jour contient de loin le plus grand nombre de mises à jour de sécurité publiées dans un seul correctif. Il comporte six correctifs critiques, les six autres étant jugés importants. Il couvrait 34 failles individuelles, qui toutes si exploitées pourraient conduire à l’exécution de code à distance. Alors préparez-vous pour les redémarrages. Il est avantageux de ne pas retarder le déploiement de ces correctifs. Depuis trois d’entre eux, corrigez les vulnérabilités révélées publiquement.

Les failles critiques sont expliquées dans les bulletins MS16-144, MS16-145, MS16-146, MS16-147, MS16-148 et MS16-154. On dit qu'ils surmontent les susceptibilités dans Windows, Internet Explorer, Edge et Office. Plus précisément, les utilisateurs de Windows 10 étaient confrontés lors de leur connexion à Internet après la dernière vague de correctifs publiés par Microsoft.

Marqué 'critique':

MS16-144

MS16-144 est publié pour traiter une multitude de bogues dans Internet Explorer. Il corrige également quelques problèmes qui ont tendance à causer des fuites d'informations et qui pourraient conduire à une violation d'informations dans la bibliothèque d'objets Windows de liens hypertextes. Ce correctif sera inclus dans la mise à jour de sécurité mensuelle de décembre pour Windows.

Voici les défauts divulgués publiquement

• CVE-2016-7282 - une vulnérabilité de divulgation d'informations liée aux navigateurs Microsoft.
• CVE-2016-7281 - le bogue de contournement de la fonctionnalité de sécurité du navigateur Microsoft.
• CVE-2016-7202 - une anomalie de corruption de mémoire dans le moteur de script.

Cette mise à jour a été classée «Correctif maintenant», principalement en raison de la gravité du problème à résoudre. MS16-144 sera appliqué à toutes les versions d'IE actuellement prises en charge.

MS16-145

MS16-145 révise plusieurs des bogues signalés dans le «nouveau navigateur amélioré» de Microsoft. Le nombre de problèmes signalés est étonnamment encore plus élevé qu’Internet Explorer, censuré avec 11 défauts. MS16-145 résout ces problèmes critiques.

• Cinq défauts de moteur de script habituels.
• Deux des bugs de corruption de mémoire.
• Un bypass de sécurité.

MS16-146

MS16-146 a tendance à corriger les vulnérabilités critiques d'exécution de code à distance dans le composant graphique Microsoft de Windows. De plus, il corrige le défaut de divulgation d’informations Windows GDI. Toutes ces vulnérabilités sont signalées à titre privé. Ce correctif doit remplacer la mise à jour du composant graphique du mois dernier pour tous les systèmes Windows 10 et Server 2016.

Il s’agit également du deuxième correctif pour la sécurité Windows ou mise à jour «cumulative» de ce mois.

MS16-147

MS16-147 est publié pour traiter uniquement une responsabilité persistante dans Windows Uniscribe. On dit que le bogue déclenche un scénario d'exécution de code à distance. C'est-à-dire si les utilisateurs visitent un site Web spécialement conçu ou ouvrent un document spécialement conçu. C'est certainement quelque chose que nous ne voyons pas tous les mois.

Pour ceux qui ne le savent pas, le composant Uniscribe est un ensemble d'API conçues pour gérer la typographie dans Windows pour différentes langues.

MS16-148

Le MS16-148 est publié pour résoudre un grand nombre de vulnérabilités d'exécution de code à distance. Les 16 failles enregistrées de manière privée persistent dans Microsoft Office. La gravité des problèmes peut être déterminée par le fait que, s'ils ne sont pas corrigés, ils peuvent conduire à un scénario d'exécution de code à distance sur le système cible. Voici la liste des problèmes:

• Quatre bugs de corruption de mémoire.
• Un problème de chargement latéral de DLL OLE Office.
• Un bug qui divulgue des informations critiques GDI avec plusieurs autres.

MS16-154

Le correctif MS16-154 est un wrapper qui corrige des failles cruciales dans le lecteur Adobe Flash intégré. C'est potentiellement le problème le plus dangereux s'il n'est pas corrigé. Il est dit de résoudre 17 problèmes, y compris une faille en cours d'exécution dans la nature. Microsoft a étonnamment suggéré un facteur atténuant pour ce problème. C'est étonnant, car l'entreprise ne le fait généralement jamais. La solution consiste à désinstaller complètement Flash.

Des rapports concernant une vulnérabilité zéro jour ont été reçus, ce qui a permis de compromettre les systèmes Internet Explorer 32 bits. Il s’agit donc d’une mise à jour critique du «correctif maintenant».

Il aborde:

• Quatre bogues de débordement de mémoire tampon.
• Cinq problèmes de corruption de mémoire pouvant éventuellement entraîner l'exécution de code à distance.

Marqué 'Important':

MS16-149

Le correctif est publié pour résoudre deux problèmes signalés confidentiellement dans Windows.

• Une faille de divulgation d’informations de cryptage Windows, impliquant la gestion d’objets en mémoire.
• Un bogue qui entraîne une élévation de privilège dans le composant de cryptographie Windows.

MS16-149 sera ajouté à la mise à jour de sécurité de ce mois-ci.

MS16-150

Cette mise à jour de sécurité concerne une seule vulnérabilité, rapportée en privé. MS16-150 concerne le problème persistant du noyau Windows qui pourrait compromettre les privilèges de l'utilisateur. Cela est principalement dû à une mauvaise gestion des objets en mémoire.

MS16-151

MS16-151 tente de réviser quelques bugs mineurs. Chacune de ces personnes a été signalée à titre privé et devrait causer des dommages minimes L’un est lié à la faille Win32k EoP dans les pilotes en mode noyau Windows. L’autre problème qu’il aborde est le composant graphique Windows, qui manipule mal les objets en mémoire.

MS16-152

MS16-152 est un correctif de sécurité pour le noyau Windows et vise à résoudre un problème. Il s'agit d'une vulnérabilité signalée confidentiellement dans le noyau Windows qui affecte uniquement les systèmes Windows 10 et Server 2016. Le bug est connu pour provoquer la divulgation d'informations, au pire. Ce correctif sera fourni avec le cumul mensuel de Windows.

MS16-153

Ce correctif résout un seul problème de divulgation d’informations, également déclaré en privé. Le bogue persiste dans un sous-système de pilote Windows, provoqué par la mise à jour du système de fichier de journal commun (CLFS).

MS16-155

MS16-155 répare un passif du framework.NET. Microsoft a noté que le bogue est divulgué publiquement mais n'est pas exploité. Il s’agit potentiellement d’une vulnérabilité moins risquée et dispose de son propre package de mise à jour. Par conséquent, il a été épargné par l'inclusion dans les cumuls qualité et sécurité de Windows.

C’est assez que vous ayez besoin de connaître chaque mise à jour de sécurité du dernier correctif de cette année, mardi. Donc, jusqu'à l'année prochaine, Happy Patching.

Histoires connexes, vous devriez lire:

• Le correctif de sécurité de Windows 10 juin contient d’énormes correctifs pour IE, Edge, Flash Player et Windows.
• La mise à jour cumulative de Windows 10 Mobile corrige certains problèmes connus et améliore les performances globales
• Une faille de sécurité publiée par Google corrigée par Microsoft
• Windows 7 KB3205394 corrige des vulnérabilités majeures en matière de sécurité, installez-le maintenant