Patch Tuesday de mai 2015

Microsoft vient de publier son Patch Tuesday de mai 2015.

Au programme ce mois ci, 13 bulletins de sécurités dont 3 critiques.

Les bulletins de ce mois-ci concernent Internet explorer, Windows, office, serveur, siverlight, lync et .Net.

Vous trouverez toutes ces mises à jour sur plusieurs support :

Windows Update

Référence du Bulletin	Titre du Bulletin et synthèse	Indice de gravité maximal et type de vulnérabilité	Logiciels concernés
MS15-043	Mise à jour de sécurité cumulative pour Internet Explorer (3049563) Cette mise à jour de sécurité résout des vulnérabilités dans Internet Explorer. La plus grave de ces vulnérabilités pourrait permettre l’exécution de code à distance si un utilisateur affichait une page web spécialement conçue à l’aide d’Internet Explorer. Un attaquant qui parviendrait à exploiter ces vulnérabilités pourrait obtenir les mêmes droits que l’utilisateur actuel. Les clients dont les comptes sont configurés avec des privilèges moins élevés sur le système peuvent subir un impact inférieur à ceux possédant des privilèges d’administrateur.	Critique Exécution de code à distance	Microsoft Windows, Internet Explorer
MS15-044	Des vulnérabilités liées aux pilotes de police Microsoft pourraient permettre l’exécution de code à distance (3057110) Cette mise à jour de sécurité corrige des vulnérabilités dans Microsoft Windows, Microsoft .NET Framework, Microsoft Office, Microsoft Lync et Microsoft Silverlight. La vulnérabilité la plus grave pourrait permettre l’exécution de code à distance si un utilisateur ouvrait un document spécialement conçu ou visitait une page web non fiable contenant des polices TrueType intégrées.	Critique Exécution de code à distance	Microsoft Windows, Microsoft .NET Framework, Microsoft Office, Microsoft Lync, Microsoft Silverlight
MS15-045	Une vulnérabilité dans le Journal Windows pourrait permettre l’exécution de code à distance (3046002) Cette mise à jour de sécurité corrige des vulnérabilités dans Microsoft Windows. Ces vulnérabilités pourraient permettre l’exécution de code à distance si un utilisateur ouvrait un fichier du Journal spécialement conçu. Les utilisateurs dont les comptes sont configurés avec moins de droits sur le système pourraient être moins touchés que ceux qui disposent de privilèges d’administrateur.	Critique Exécution de code à distance	Microsoft Windows
MS15-046	Des vulnérabilités dans Microsoft Office pourraient permettre l’exécution de code à distance (3057181) Cette mise à jour de sécurité corrige des vulnérabilités dans Microsoft Office. La plus grave de ces vulnérabilités pourrait permettre l’exécution de code à distance si un utilisateur ouvrait un fichier Microsoft Office spécialement conçu. Un attaquant qui parviendrait à exploiter ces vulnérabilités pourrait exécuter du script arbitraire dans le contexte de l’utilisateur actuel. Les clients dont les comptes sont configurés avec des privilèges moins élevés sur le système peuvent subir un impact inférieur à ceux possédant des privilèges d’administrateur.	Important Exécution de code à distance	Microsoft Office
MS15-047	Des vulnérabilités dans Microsoft SharePoint Server pourraient permettre l’exécution de code à distance (3058083) Cette mise à jour de sécurité corrige des vulnérabilités dans le logiciel serveur Microsoft Office. Ces vulnérabilités pourraient permettre l’exécution de code à distance si un attaquant authentifié envoyait du contenu de page spécialement conçu à un serveur SharePoint. Un attaquant qui parviendrait à exploiter ces vulnérabilités pourrait exécuter du code arbitraire dans le contexte de sécurité du compte de service W3WP sur le site SharePoint cible.	Important Exécution de code à distance	Logiciels Serveurs Microsoft
MS15-048	Des vulnérabilités dans .NET Framework pourraient permettre une élévation de privilèges (3057134) Cette mise à jour de sécurité corrige des vulnérabilités dans Microsoft .NET Framework. La plus grave des vulnérabilités pourrait permettre une élévation de privilèges si un utilisateur installait une application spécialement conçue partiellement approuvée.	Important Élévation de privilèges	Microsoft Windows, Microsoft .NET Framework
MS15-049	Une vulnérabilité dans Silverlight pourrait permettre une élévation de privilèges (3058985) Cette mise à jour de sécurité corrige une vulnérabilité dans Microsoft Silverlight. Cette vulnérabilité pourrait permettre une élévation de privilèges si une application spécialement conçue est exécutée sur un système affecté. Pour exploiter cette vulnérabilité, un attaquant devrait d’abord ouvrir une session sur le système ou convaincre un utilisateur connecté d’exécuter cette application.	Important Elevation de priviléges	Microsoft Siverlight
MS15-050	Une vulnérabilité dans le Gestionnaire de contrôle des services pourrait permettre une élévation de privilèges (3055642) Cette mise à jour de sécurité corrige une vulnérabilité dans le Gestionnaire de contrôle des services Windows. Cette vulnérabilité est provoquée par le Gestionnaire, qui vérifie les niveaux d’emprunt d’identité de manière incorrecte. Cette vulnérabilité pourrait permettre une élévation de privilèges si un attaquant ouvrait une session sur un système et exécutait une application spécialement conçue pour élever les privilèges.	Important Elevation de priviléges	Microsoft Windows
MS15-051	Des vulnérabilités dans les pilotes en mode noyau de Windows pourraient permettre une élévation de privilèges (3057191) Cette mise à jour de sécurité corrige des vulnérabilités dans Microsoft Windows. Les plus graves de ces vulnérabilités pourraient permettre une élévation de privilèges si un attaquant se connectait en local et exécutait du code arbitraire en mode noyau. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données, ou créer des comptes dotés de tous les privilèges. Un attaquant doit disposer d’informations d’identification d’ouverture de session valides et être en mesure de se connecter localement pour exploiter ces vulnérabilités. Cette vulnérabilité ne peut pas être exploitée à distance ou par des utilisateurs anonymes.	Important Elevation de priviléges	Microsoft Windows
MS15-052	Une vulnérabilité dans le noyau Windows pourrait permettre un contournement de la fonctionnalité de sécurité (3050514) Cette mise à jour de sécurité corrige une vulnérabilité dans Microsoft Windows. Cette vulnérabilité pourrait permettre de contourner la fonctionnalité de sécurité si un attaquant se connectait à un système affecté et exécutait une application spécialement conçue.	Important Contourner la fonctionnalité de sécurité	Microsoft Windows
MS15-053	Des vulnérabilités dans les moteurs de script JScript et VBScript pourraient permettre de contourner la fonctionnalité de sécurité (3057263) Cette mise à jour de sécurité résout les contournements de la fonctionnalité de sécurité ASLR dans les moteurs de script JScript et VBScript dans Microsoft Windows. Un attaquant pourrait utiliser ces contournements d’ASLR en combinaison avec une autre vulnérabilité, telle qu’une vulnérabilité d’exécution de code à distance, pour exécuter de manière plus fiable du code arbitraire sur un système cible.	Important Contourner la fonctionnalité de sécurité	Microsoft Windows
MS15-054	Une vulnérabilité dans le format de fichier de Microsoft Management Console pourrait permettre un déni de service (3051768) Cette mise à jour de sécurité corrige une vulnérabilité dans Microsoft Windows. Cette vulnérabilité pourrait permettre un déni de service si un attaquant à distance non authentifié parvenait à convaincre un utilisateur d’ouvrir un partage contenant un fichier .msc spécialement conçu. Toutefois, un attaquant n’aurait pas la possibilité de forcer un utilisateur à visiter le partage ou à consulter le fichier.	Important Déni de service	Microsoft Windows
MS15-055	Une vulnérabilité dans Schannel pourrait permettre la divulgation d’informations (3061518) Cette mise à jour de sécurité corrige une vulnérabilité dans Microsoft Windows. Cette vulnérabilité pourrait permettre la divulgation d’informations lorsque le canal sécurisé (Schannel) autorise l’utilisation d’une clé DHE (Diffie-Hellman ephemeral) faible de 512 bits dans une session TLS chiffrée. Permettre les clés DHE de 512 bits affaiblit les échanges de clés DHE et les rend vulnérables à différentes attaques. Un serveur doit prendre en charge les longueurs de clé DHE 512 bits pour qu’une attaque réussisse ; la longueur de clé DHE minimale acceptable dans des configurations par défaut de serveurs Windows est de 1 024 bits.	Important Divulgation d’informations	Microsoft Windows

Lien direct vers les informations du bulletin : ici

Patch Tuesday de mai 2015

Référence du Bulletin

Titre du Bulletin et synthèse

Indice de gravité maximal et type de vulnérabilité

Logiciels concernés

Mise à jour de sécurité cumulative pour Internet Explorer (3049563)

Critique

Exécution de code à distance

Microsoft Windows, Internet Explorer

Des vulnérabilités liées aux pilotes de police Microsoft pourraient permettre l’exécution de code à distance (3057110)

Critique

Exécution de code à distance

Microsoft Windows, Microsoft .NET Framework, Microsoft Office, Microsoft Lync, Microsoft Silverlight

Une vulnérabilité dans le Journal Windows pourrait permettre l’exécution de code à distance (3046002)

Critique

Exécution de code à distance

Microsoft Windows

Des vulnérabilités dans Microsoft Office pourraient permettre l’exécution de code à distance (3057181)

Important

Exécution de code à distance

Microsoft Office

Des vulnérabilités dans Microsoft SharePoint Server pourraient permettre l’exécution de code à distance (3058083)

Important

Exécution de code à distance

Logiciels Serveurs Microsoft

Des vulnérabilités dans .NET Framework pourraient permettre une élévation de privilèges (3057134)

Cette mise à jour de sécurité corrige des vulnérabilités dans Microsoft .NET Framework. La plus grave des vulnérabilités pourrait permettre une élévation de privilèges si un utilisateur installait une application spécialement conçue partiellement approuvée.

Important

Élévation de privilèges

Microsoft Windows, Microsoft .NET Framework

Une vulnérabilité dans Silverlight pourrait permettre une élévation de privilèges (3058985)

Important

Elevation de priviléges

Microsoft Siverlight

Une vulnérabilité dans le Gestionnaire de contrôle des services pourrait permettre une élévation de privilèges (3055642)

Important

Elevation de priviléges

Microsoft Windows

Des vulnérabilités dans les pilotes en mode noyau de Windows pourraient permettre une élévation de privilèges (3057191)

Important

Elevation de priviléges

Microsoft Windows

Une vulnérabilité dans le noyau Windows pourrait permettre un contournement de la fonctionnalité de sécurité (3050514)

Cette mise à jour de sécurité corrige une vulnérabilité dans Microsoft Windows. Cette vulnérabilité pourrait permettre de contourner la fonctionnalité de sécurité si un attaquant se connectait à un système affecté et exécutait une application spécialement conçue.

Important

Contourner la fonctionnalité de sécurité

Microsoft Windows

Des vulnérabilités dans les moteurs de script JScript et VBScript pourraient permettre de contourner la fonctionnalité de sécurité (3057263)

Important

Contourner la fonctionnalité de sécurité

Microsoft Windows

Une vulnérabilité dans le format de fichier de Microsoft Management Console pourrait permettre un déni de service (3051768)

Important

Déni de service

Microsoft Windows

Une vulnérabilité dans Schannel pourrait permettre la divulgation d’informations (3061518)

Important

Divulgation d’informations

Microsoft Windows

Partager :

Catégories

Microsoft Windows,
Microsoft .NET Framework,
Microsoft Office,
Microsoft Lync,
Microsoft Silverlight

Microsoft Windows,
Microsoft .NET Framework