Microsoft a publié mardi 12 avril la synthèse de ses bulletins de sécurité pour le mois d’avril, qui corrige des vulnérabilités permettant l’exécution de code à distance..
Dans son bulletin de synthèse, les mises à jour de sécurité pour Internet Explorer, Edge, composant Microsoft Graphics, .NET Framework, Office et Adobe Flash Player côtoient celles concernant proprement dit Windows. Au total, 6 mises à jour critiques, que nous détaillons ici, et 7 mises à jour importantes.
Parmi les vulnérabilités critiques corrigées, et classées « critiques », on notera d’abord une mise à jour de sécurité cumulative pour Internet Explorer dont des failles permettraient d’obtenir les mêmes droits que l’utilisateur. Si celui-ci a des privilèges d’administrateur, un attaquant pourrait alors installer des programmes, afficher, modifier ou supprimer des données, ou créer des comptes dotés de tous les privilèges. Des vulnérabilités corrigées concernant Edge sont de même type.
Concernant Windows proprement dit, et Microsoft XML Core Services en particulier, le correctif s’attaque à une vulnérabilité qui « pourrait permettre l’exécution de code à distance si un utilisateur cliquait sur un lien spécialement conçu qui pourrait permettre à un attaquant d’exécuter à distance du code malveillant afin de prendre le contrôle du système de l’utilisateur ». Microsoft se veut rassurant : « Dans tous les cas, un attaquant n’aurait aucun moyen de forcer un utilisateur à cliquer sur un lien spécialement conçu. Il devrait le convaincre, généralement par le biais d’une sollicitation envoyée par message électronique ou message instantané. »
Même problème d’exécution de code à distance avec la mise à jour de sécurité pour le composant Microsoft Graphics et qui corrige les vulnérabilités dans Microsoft Windows, mais aussi Microsoft .NET Framework, Microsoft Office, Skype Entreprise et Microsoft Lync. Pour que l’exécution de code à distance puisse de réaliser dans ce cas, il faudrait ouvrir un document spécialement conçu ou visiter une page web contenant des polices incorporées spécialement conçues.
En ce qui concerne Microsoft Office, le correctif empêche qu’un attaquant puisse exécuter du script arbitraire dans le contexte de l’utilisateur actuel. Critique également, la mise à jour de sécurité qui corrige des vulnérabilités dans Adobe Flash Player sur toutes les éditions prises en charge de Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows RT 8.1 et Windows 10.