
Microsoft Patch Tuesday, June 2020 Edition – Krebs on Security – Serveur d’impression
Microsoft a publié aujourd'hui des correctifs logiciels pour combler au moins 129 trous de sécurité dans son les fenêtres systèmes d'exploitation et logiciels pris en charge, par certains comptes, un nombre record de correctifs en une seule fois pour le géant du logiciel. Aucun des bugs corrigés ce mois-ci n'est connu pour avoir été exploité ou détaillé avant aujourd'hui, mais il existe quelques vulnérabilités qui méritent une attention particulière – en particulier pour les entreprises et les employés travaillant à distance.
Juin marque le quatrième mois consécutif que Microsoft a publié des correctifs pour corriger plus de 100 failles de sécurité dans ses produits. Onze des mises à jour corrigent des problèmes jugés «critiques» par Microsoft, ce qui signifie qu’elles pourraient être exploitées par des logiciels malveillants ou des mécontents pour prendre le contrôle à distance complet des systèmes vulnérables sans l’aide des utilisateurs.
Parmi la panoplie de correctifs, une préoccupation majeure est un trio de vulnérabilités dans la technologie de partage de fichiers Windows (a .k.a. Microsoft Server Message Block ou service "SMB"). Le plus troublant peut-être (CVE-2020-1301) est un bogue d'exécution de code à distance dans les capacités SMB intégré à Windows 7 et Windows Server 2008 systèmes – les deux systèmes d'exploitation que Microsoft a cessé de prendre en charge avec des mises à jour de sécurité en janvier 2020. Un facteur atténuant de cette faille est qu'un attaquant devrait être déjà authentifié sur le réseau pour l'exploiter, selon les experts en sécurité de Défendable.
Les correctifs SMB suivent de près les informations selon lesquelles un code de preuve de concept a été publié cette semaine qui permettrait à quiconque d'exploiter une faille SMB critique corrigée par Microsoft Windows 10 en mars (CVE-2020-0796). Contrairement aux bogues SMB critiques de ce mois-ci, CVE-2020-0796 ne nécessite pas que l'attaquant soit authentifié auprès du réseau cible. Et avec d'innombrables employés de l'entreprise travaillant désormais à distance, les utilisateurs de Windows 10 qui n'ont pas encore appliqué les mises à jour de mars ou ultérieur pourraient être dangereusement exposés en ce moment.
Microsoft Office et Exceller obtenez plusieurs mises à jour ce mois-ci. Deux failles différentes dans Excel (CVE-2020-1225 et CVE-2020-1226) pourraient être utilisées pour réquisitionner à distance un ordinateur exécutant Office simplement en amenant un utilisateur à ouvrir un document piégé. Une autre faiblesse (CVE-2020-1229) dans la plupart des versions d'Office peut être exploitée pour contourner les fonctions de sécurité dans Office simplement en prévisualisant un document malveillant dans le volet d'aperçu. Cette faille affecte également Office pour Mac, bien que les mises à jour ne soient pas encore disponibles pour cette plate-forme.
Après des mois à nous accorder une pause bienvenue dans l'application des correctifs, Adobe a publié une mise à jour pour son Lecteur Flash programme qui résout un problème de sécurité unique, bien que critique. Adobe dit qu'il n'a pas connaissance d'exploits actifs contre la faille Flash. Heureusement, Chrome et Firefox les deux désactivent désormais Flash par défaut, et Chrome et IE / Edge met automatiquement à jour le programme lorsque de nouvelles mises à jour de sécurité sont disponibles. Adobe devrait retirer Flash Player plus tard cette année. Adobe a également publié des mises à jour de sécurité pour ses produits Experience Manager et Framemaker.
Les utilisateurs de Windows 7 doivent être conscients du fait que bien qu'un certain nombre de failles corrigées ce mois-ci par Microsoft affectent les systèmes Windows 7, ce système d'exploitation n'est plus pris en charge avec les mises à jour de sécurité (sauf si vous êtes une entreprise tirant parti de la sécurité étendue payante de Microsoft programme de mise à jour, disponible pour les utilisateurs Windows 7 Professionnel et Windows 7 entreprise).
Avant de procéder à la mise à jour avec le lot de correctifs de ce mois-ci, assurez-vous d'avoir sauvegardé votre système et / ou les fichiers importants. Il n'est pas rare qu'une mise à jour bancale de Windows arrose le système ou l'empêche de démarrer correctement, et certaines mises à jour ont même su effacer ou corrompre des fichiers. Alors faites-vous une faveur et sauvegardez avant l'installation de correctifs. Windows 10 a même des outils intégrés pour vous aider à le faire, soit par fichier / dossier ou en faisant une copie complète et amorçable de votre disque dur à la fois.
Et si vous souhaitez vous assurer que Windows a été configuré pour suspendre la mise à jour afin que vous puissiez sauvegarder vos fichiers et / ou votre système avant que le système d'exploitation ne décide de redémarrer et d'installer des correctifs selon sa propre planification, consultez ce guide.
Comme toujours, si vous rencontrez des problèmes ou des problèmes d'installation de l'un de ces correctifs ce mois-ci, pensez à laisser un commentaire à ce sujet ci-dessous; il y a de meilleures chances que d'autres lecteurs ont vécu la même chose et peuvent carillon ici avec quelques conseils utiles.
Lectures complémentaires:
AskWoody et Martin Brinkmann sur les correctifs et les pièges potentiels du Patch Tuesday
Mise à jour du correctif Zero Day Initiative de Trend Micro en juin 2020
U.S-CERT sur l'exploitation active de CVE-2020-0796
Étiquettes: CVE-2020-0796, CVE-2020-1225, CVE-2020-1226, CVE-2020-1229, CVE-2020-1301, Microsoft Windows Update June 2020, Tenable
Cette entrée a été publiée le mardi 9 juin 2020 à 22 h 43 et est classée sous Time to Patch.
Vous pouvez suivre les commentaires de cette entrée via le flux RSS 2.0.
Vous pouvez passer à la fin et laisser un commentaire. Le ping n'est actuellement pas autorisé.
Commentaires
Laisser un commentaire