Microsoft vient de publier son Patch Tuesday de Décembre 2014.
Au programme ce mois ci 7 bulletins de sécurités dont trois critiques. Ceux ci concernent Internet Explorer, Windows, Microsoft office et Exchange.
Vous trouverez toutes ces mises à jour sur plusieurs support :
Référence du Bulletin |
Titre du Bulletin et synthèse |
Indice de gravité maximal et type de vulnérabilité |
Nécessité de redémarrer |
Logiciels concernés |
MS14-075 |
Des vulnérabilités dans Microsoft Exchange Server pourraient permettre une élévation de privilèges (3009712)Cette mise à jour de sécurité corrige quatre vulnérabilités signalées à titre privé dans Microsoft Exchange Server. Les vulnérabilités les plus graves pourraient permettre une élévation de privilèges si un utilisateur cliquait sur une URL spécialement conçue menant l’utilisateur vers un site Outlook Web App ciblé. Un attaquant n’aurait aucun moyen d’obliger les utilisateurs à visiter un site web spécialement conçu. Un attaquant devrait les convaincre de visiter ce site web, généralement en les incitant à cliquer sur un lien dans un message électronique ou un message instantané menant à son site, puis de cliquer sur l’URL spécialement conçue. |
ImportantÉlévation de privilèges |
Peut nécessiter un redémarrage |
Microsoft Exchange |
MS14-080 |
Mise à jour de sécurité cumulative pour Internet Explorer (3008923)Cette mise à jour de sécurité corrige quatorze vulnérabilités signalées à titre privé dans Internet Explorer. La plus grave de ces vulnérabilités pourrait permettre l’exécution de code à distance si un utilisateur affichait une page web spécialement conçue à l’aide d’Internet Explorer. Un attaquant qui parviendrait à exploiter ces vulnérabilités pourrait obtenir les mêmes droits que l’utilisateur actuel. Les clients dont les comptes sont configurés avec des privilèges moins élevés sur le système peuvent subir un impact inférieur à ceux possédant des privilèges d’administrateur. |
CritiqueExécution de code à distance |
Nécessite un redémarrage |
Microsoft Windows,
|
MS14-081 |
Des vulnérabilités dans Microsoft Word et Microsoft Office Web Apps pourraient permettre l’exécution de code à distance (3017301)
|
CritiqueExécution de code à distance |
Peut nécessiter un redémarrage |
Microsoft Office |
MS14-082 |
Une vulnérabilité dans Microsoft Office pourrait permettre l’exécution de code à distance (3017349)Cette mise à jour de sécurité corrige une vulnérabilité signalée à titre privé dans Microsoft Office. Cette vulnérabilité pourrait permettre l’exécution de code à distance si un fichier spécialement conçu était ouvert dans une édition affectée de Microsoft Office. Un attaquant ayant réussi à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l’utilisateur actuel. Les clients dont les comptes sont configurés avec des privilèges moins élevés sur le système peuvent subir un impact inférieur à ceux possédant des privilèges d’administrateur. |
ImportantExécution de code à distance |
Peut nécessiter un redémarrage |
Microsoft Office |
MS14-083 |
Des vulnérabilités dans Microsoft Excel pourraient permettre l’exécution de code à distance (3017347)Cette mise à jour de sécurité corrige deux vulnérabilités signalées à titre privé dans Microsoft Excel. Ces vulnérabilités pourraient permettre l’exécution de code à distance si un attaquant parvenait à convaincre un utilisateur d’ouvrir ou de prévisualiser un fichier Microsoft Excel spécialement conçu dans une version affectée du logiciel Microsoft Office. Un attaquant qui a réussi à exploiter ces vulnérabilités pourrait obtenir les mêmes droits que l’utilisateur actuel. Si l’utilisateur actuel a ouvert une session avec des privilèges d’administrateur, un attaquant pourrait alors installer des programmes, afficher, modifier ou supprimer des données, ou bien créer des comptes dotés de tous les privilèges. Les clients dont les comptes sont configurés avec des privilèges moins élevés sur le système peuvent subir un impact inférieur à ceux possédant des privilèges d’administrateur. |
ImportantExécution de Code à distance |
Peut nécessiter un redémarrage |
Microsoft Office |
MS14-084 |
Une vulnérabilité dans le moteur de script VBScript pourrait permettre l’exécution de code à distance (3016711)Cette mise à jour de sécurité corrige une vulnérabilité signalée à titre privé dans le moteur de script VBScript dans Microsoft Windows. Cette vulnérabilité pourrait permettre l’exécution de code à distance si un utilisateur visite un site Web spécialement conçu. Un attaquant ayant réussi à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l’utilisateur actuel. Si l’utilisateur actuel a ouvert une session avec des privilèges d’administrateur, un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral d’un système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges. |
CritiqueExécution de Code à distance |
Peut nécessiter un redémarrage |
Microsoft Windows |
MS14-085 |
Une vulnérabilité dans le composant Microsoft Graphics pourrait permettre la divulgation d’informations (3013126)Cette mise à jour de sécurité corrige une vulnérabilité révélée publiquement dans Microsoft Windows. La vulnérabilité pourrait permettre la divulgation d’informations si un utilisateur accède à un site web comportant du contenu JPEG spécialement conçu. Un attaquant pourrait utiliser cette vulnérabilité de divulgation pour obtenir des informations sur le système et les combiner avec d’autres attaques pour compromettre le système. La vulnérabilité de divulgation d’informations en elle-même n’autorise pas l’exécution de code arbitraire. Toutefois, un attaquant pourrait combiner cette vulnérabilité de divulgation avec une autre vulnérabilité pour contourner des fonctionnalités de sécurité telles que la randomisation du format d’espace d’adresse (ASLR). |
ImportantDivulgation d’information |
Peut nécessiter un redémarrage |
Microsoft Windows |
Lien direct vers les informations du bulletin : ici