Ce mois-ci Patch mardi comprend neuf bulletins de sécurité, dont cinq classés critiques. Nous voyons un plus petit nombre de correctifs car, selon Michael Gray, vice-président de la technologie chez Thrive Networks, « Microsoft a peut-être gardé les choses simples pour ne pas éclipser la sortie de leur Mise à jour anniversaire de Windows 10.”
Critique
Deux des correctifs mensuels cumulatifs concernent Internet Explorer (MS16-095) et Microsoft Edge (MS16-096). Le premier résout cinq vulnérabilités de corruption de mémoire et quatre failles de divulgation d'informations, tandis que le premier corrige huit bogues (quatre défauts de corruption de mémoire, trois trous de divulgation d'informations et un Microsoft PDF RCE vulnérabilité).
Le troisième correctif critique est MS16-097 et est une mise à jour de sécurité qui corrige les vulnérabilités RCE dans le composant graphique Microsoft. MS16-099 corrige trois vulnérabilités de corruption de mémoire Office, un bogue de divulgation d'informations Microsoft OneNote et une vulnérabilité de corruption de mémoire de composant graphique. Enfin, MS16-102 corrige une faille RCE dans la bibliothèque PDF de Microsoft Windows et l'ingénieur logiciel principal de Core Security Jon Rudolph a expliqué qu'il est important de garder un œil sur CVE-2016-3319 alias « Microsoft PDF Remote Code Execution Vulnérabilité.
Important
Selon le journal des modifications, MS16-098 corrige quatre vulnérabilités d'élévation des privilèges dans les pilotes en mode noyau Windows; MS16-100 se débarrasse d'un bogue de contournement de la fonction de sécurité dans Windows Secure Boot qui permettrait aux attaquants pour désactiver les contrôles d'intégrité du code et pour charger des exécutables et des pilotes signés par test dans un périphérique cible. Le troisième correctif, MS16-101, corrige deux vulnérabilités d'élévation des privilèges: une faille Kerberos EoP et un bogue Netlogon EoP.
Comme pour MS16-103, ce correctif corrige une faille de divulgation d'informations dans ActiveSyncProvider pour Windows 10 et Windows 10 Version 1511. Microsoft a déclaré que « La vulnérabilité pourrait permettre la divulgation d'informations lorsque Universal Outlook ne parvient pas à établir un connexion », ajoutant que « La mise à jour corrige la vulnérabilité en empêchant Universal Outlook de divulguer les noms d'utilisateur et mots de passe.
HISTOIRES CONNEXES À VÉRIFIER :
- April Patch Tuesday apporte des mises à jour de sécurité pour Windows 10, IE, Microsoft Edge et plus
- Mise à jour KB3176493 publiée pour Windows 10 v1511 dans le cadre du Patch Tuesday
- L'émulateur BlueStacks ne s'ouvre pas dans la mise à jour anniversaire de Windows 10
