Microsoft : 68 failles corrigées dans les bulletins de novembre, deux déjà exploitées

Microsoft a publié hier ses bulletins de sécurité pour le mois de novembre. Ils sont au nombre de 14,dont 6 critiques, pour un total de 68 failles corrigées. L'un d'entre eux concerne la faille – déjà exploitée – révélée par Google.

Les utilisateurs ont ce mois-ci tout intérêt à installer rapidement les mises à jour proposées par Windows Update. Les 14 bulletins contiennent un certain lot de failles critiques, dont deux sont activement exploitées et trois ont été révélées publiquement. Dans ce type de situation, il est recommandé de procéder à l’installation sans attendre, même s’il existe des facteurs d’atténuation.

Deux failles critiques déjà exploitées...

Le bulletin le plus important est probablement le MS16-135, qui correspond à la faille révélée récemment par Google, au grand dam de Microsoft qui a accusé son concurrent de mettre les utilisateurs en danger. Google était surtout motivé de son côté par une vulnérabilité déjà exploitée par un groupe de pirates russes, connu notamment sous les noms de Strontium, ATP28 et FancyBear. L’éditeur ne donne par ailleurs que sept jours aux entreprises pour s’occuper de failles activement utilisées.

Mais il ne s’agit pas de la seule faille déjà exploitée. Le bulletin MS16-132 corrige un lot de vulnérabilités critiques dans la gestion des polices. Dans le lot, l’une est déjà en cours d’utilisation par des pirates. Ces brèches ont tout intérêt à être colmatées au plus tôt puisqu’elles sont exploitables à distance.

... trois autres révélées publiquement

Parmi les autres failles importantes, on notera celles contenues dans les bulletins MS16-129 et MS16-142. Il s’agit de correctifs cumulatifs pour Edge et Internet Explorer, notamment pour trois failles critiques qui, si elles ne semblent pas exploitées, ont été révélées publiquement. Les détails étant connus, des attaques sont donc à prévoir.

Le bulletin MS16-133 n’est pas critique – il est « important » - mais rassemble des failles permettant à des documents Office spécialement conçus de déclencher des attaques dans les applications correspondantes.

Mises à jour cumulatives pour (presque) tout le monde

Comme toujours avec le « Patch Tuesday », il suffit d’ouvrir Windows Update pour récupérer les mises à jour. Tous les Windows et Office en cours de support sont concernés. Rappelons que Windows 7 et 8.1 fonctionnent désormais sur ce point comme Windows 10 : via des mises à jour cumulatives. Elles ont été activées le mois dernier, celles de novembre reprenant donc celles d’octobre.

Concernant Windows 10, Microsoft publie évidemment une mise à jour cumulative, estampillée 14393.447. Elle corrige l’ensemble des failles citées et apporte des améliorations de fiabilité sur un certain nombre d’éléments : lecture audio, Remote Desktop, gestion des VHD, Explorateur ou encore Microsoft Graphics. Des bugs particuliers ont également été corrigés, notamment celui qui faisait parfois disparaître l’icône du Wi-Fi dans la barre des tâches, même quand le réseau était actif.

Notez enfin que pour les entreprises étant restées sur la branche 1511 du système (November Update), une mise à jour cumulative spécifique est proposée. Numérotée 10586.679, elle corrige les mêmes failles et comporte des corrections dédiées, notamment pour un bug qui pouvait empêcher Windows Update de fonctionner derrière un proxy.