Vidéo: Forcer la mise à jour d'Office (Novembre 2024)
Microsoft a publié quatre mises à jour de sécurité corrigeant 11 vulnérabilités dans Windows, Microsoft Office, Internet Explorer et Microsoft Publisher dans le cadre de la publication de son correctif, avril Patch Tuesday. Les bulletins de sécurité pour Windows XP et Office 2003 sont les derniers correctifs publiés pour ces deux produits, car Microsoft a mis fin au support aujourd'hui.
Sept vulnérabilités affectent Windows XP et quatre, Office 2003. "Il s'agit d'un correctif important pour les utilisateurs qui s'appuient sur des plates-formes obsolètes et des applications qui passent à l'autoassistance ce mois-ci", a déclaré Russ Ernst, directeur de la gestion des produits chez Lumension.
Le dernier bulletin concerne trois vulnérabilités dans Microsoft Word (MS14-017), y compris la vulnérabilité «zéro jour» récemment découverte dans l’analyseur RTF (Rich Text Format). Si un attaquant persuade l'utilisateur d'ouvrir un document RTF illicite dans une version non corrigée de Microsoft Word, il peut exécuter du code à distance sur le système. Les deux autres vulnérabilités sont des failles de l'utilitaire de conversion de format de fichier Word 2007 et 2010 et un bogue de débordement de pile dans Word 2003.
Microsoft a déclaré que des attaques "limitées et ciblées" utilisant la vulnérabilité zero-day ont été observées à l'état sauvage. Le 24 mars, un correctif offrait une solution temporaire pour empêcher Word d'ouvrir automatiquement les documents RTF. Les utilisateurs qui ont initialement installé le Fix-it et ouvrent régulièrement des fichiers RTF doivent le désactiver une fois la mise à jour installée afin que les fichiers RTF s'ouvrent normalement, a recommandé Dustin Childs, responsable du groupe Microsoft Trustworthy Computing.
VirusTotal permet de détecter le programme malveillant à l'origine de la faille, ce qui "signifie que nous sommes assez proches d'une utilisation beaucoup plus large par des attaquants", a averti Wolfgang Kandek, CTO de Qualys.
Le correctif IE
Le deuxième bulletin traite de six vulnérabilités dans Internet Explorer (MS14-018) et concerne toutes les versions d'Internet Explorer 6 à Internet Explorer 11. Les pirates peuvent déclencher les failles en incitant les utilisateurs à afficher des sites Web piégés à l'aide d'Internet Explorer. Bien que la vulnérabilité n’ait pas encore été exploitée à l’état sauvage, Microsoft a attribué un «indice d’exploitabilité» de 1, ce qui signifie que des attaques peuvent être attendues dans les 30 prochains jours, a averti Kandek.
Les attaquants ciblant ces failles dans Word et IE pourront exécuter du code à distance, mais uniquement au niveau d'autorisation de l'utilisateur. Cela signifie que les utilisateurs qui ne fonctionnent pas en tant qu'administrateurs sur leurs machines Windows seront "beaucoup moins touchés" qu'ils ne l'auraient été autrement, a déclaré Marc Maiffret, CTO de BeyondTrust. Si le correctif ne peut pas être déployé immédiatement, les contrôles ActiveX doivent être bloqués et Active Scripting doit être bloqué ou désactivé, a-t-il recommandé.
Microsoft a également publié des correctifs pour Internet Explorer 10 et 11 afin d'incorporer les correctifs dans le lecteur Flash publié par Adobe plus tôt aujourd'hui.
Mettre à jour vos systèmes
Les mises à jour restantes couvrent les failles d'exécution de code à distance dans Microsoft Publisher (MS14-020) et la gestion de fichiers Windows (MS14-019). Un attaquant pourrait exploiter la vulnérabilité de Windows en poussant les utilisateurs à exécuter des fichiers.bat ou.cmd à partir d'emplacements non fiables sans avertissement. Publisher a une petite base installée et aucun exploit n’est connu, ce qui rend la vulnérabilité moins critique.
Les utilisateurs qui persistent à utiliser XP doivent s’assurer d’appliquer immédiatement les deux premiers correctifs et s’assurer que toutes leurs applications logicielles tierces sont à jour. Adobe a indiqué qu'il n'envisageait pas de continuer à prendre en charge Flash sous XP. Assurez-vous donc d'installer la mise à jour d'aujourd'hui.
Microsoft a introduit trois nouveaux systèmes d'exploitation depuis XP, et même si vous n'aimez pas Vista, Windows 7 et 8 feront un travail bien meilleur en matière de sécurité des utilisateurs que ne le pourrait XP. Il est vraiment temps de faire basculer le système d'exploitation. "Cette année, après 13 ans d'existence, le jeu est terminé pour Windows XP", a déclaré Kandek.
![Des gadgets de rentrée scolaire qui ne feront pas sauter la banque [sponsorisés]](https://img.rovinstechnologies.com/img/sponsored-content/604/back-school-gadgets-that-wont-break-bank.jpg)
