microsoft-update

Microsoft a publier son Patch Tuesday de avril 2016.

Au programme ce mois ci, 13 bulletins de sécurités dont 6 critiques.

Les bulletins de ce mois-ci concernent Internet explorer, Windows, .NET, office, Edge, Skype Entreprise, Microsoft Lync et Flash Player.

Vous trouverez toutes ces mises à jour sur plusieurs support :

 

Référence du Bulletin
Titre du Bulletin et synthèse
Indice de gravité maximal et type de vulnérabilité
Logiciels concernés
MS16-037
Mise à jour de sécurité cumulative pour Internet Explorer (3148531)
Cette mise à jour de sécurité corrige des vulnérabilités dans Internet Explorer. La plus grave de ces vulnérabilités pourrait permettre l’exécution de code à distance si un utilisateur affichait une page web spécialement conçue à l’aide d’Internet Explorer. Un attaquant qui parviendrait à exploiter ces vulnérabilités pourrait obtenir les mêmes droits que l’utilisateur actuel. Si l’utilisateur actuel est connecté avec des privilèges d’administrateur, un attaquant pourrait prendre le contrôle d’un système concerné. L’attaquant pourrait alors installer des programmes, afficher, modifier ou supprimer des données, ou créer des comptes dotés de tous les privilèges.
Critique
Exécution de code à distance
Microsoft Windows,Internet Explorer
MS16-038
Mise à jour de sécurité cumulative pour Microsoft Edge (3148532)
Cette mise à jour de sécurité corrige des vulnérabilités dans Microsoft Edge. La plus grave de ces vulnérabilités pourrait permettre l’exécution de code à distance si un utilisateur affichait une page web spécialement conçue à l’aide de Microsoft Edge. Un attaquant qui parviendrait à exploiter ces vulnérabilités pourrait obtenir les mêmes droits que l’utilisateur actuel. Les clients dont les comptes sont configurés avec des privilèges moins élevés sur le système peuvent subir un impact inférieur à ceux possédant des privilèges d’administrateur.
Critique
Exécution de code à distance
Microsoft Windows,Microsoft Edge
MS16-039
Mise à jour de sécurité pour le composant Microsoft Graphics (3148522)
Cette mise à jour de sécurité corrige les vulnérabilités dans Microsoft Windows, Microsoft .NET Framework, Microsoft Office, Skype Entreprise et Microsoft Lync. Les plus sévères de ces vulnérabilités pourraient permettre l’exécution de code à distance si un utilisateur ouvrait un document spécialement conçu ou visitait une page web contenant des polices incorporées spécialement conçues.
Important
Exécution de code à distance
Microsoft Windows, Microsoft .NET Framework,
Microsoft Office, Skype Entreprise,
Microsoft Lync.
MS16-040
Mise à jour de sécurité pour Microsoft XML Core Services (3148541)
Cette mise à jour de sécurité corrige une vulnérabilité dans Microsoft Windows. Cette vulnérabilité pourrait permettre l’exécution de code à distance si un utilisateur cliquait sur un lien spécialement conçu qui pourrait permettre à un attaquant d’exécuter à distance du code malveillant afin de prendre le contrôle du système de l’utilisateur. Toutefois, dans tous les cas, un attaquant n’aurait aucun moyen de forcer un utilisateur à cliquer sur un lien spécialement conçu. Il devrait le convaincre, généralement par le biais d’une sollicitation envoyée par message électronique ou message instantané.
Critique
Exécution de code à distance
Microsoft Windows
MS16-041
Mise à jour de sécurité pour .NET Framework (3148789)
Cette mise à jour de sécurité corrige une vulnérabilité dans Microsoft .NET Framework. La vulnérabilité pourrait permettre l’exécution de code à distance si un attaquant ayant accès au système local exécutait une application malveillante.
Important
Exécution de code à distance
Microsoft Windows,
Microsoft .NET Framework
MS16-042
Mise à jour de sécurité pour Microsoft Office (3148775)
Cette mise à jour de sécurité corrige des vulnérabilités dans Microsoft Office. La plus grave de ces vulnérabilités pourrait permettre l’exécution de code à distance si un utilisateur ouvrait un fichier Microsoft Office spécialement conçu. Un attaquant qui parviendrait à exploiter ces vulnérabilités pourrait exécuter du script arbitraire dans le contexte de l’utilisateur actuel. Les clients dont les comptes sont configurés avec des privilèges moins élevés sur le système peuvent subir un impact inférieur à ceux possédant des privilèges d’administrateur.
Critique
Exécution de code à distance
Microsoft Office,
Services Microsoft Office et Microsoft Office Web Apps
MS16-044
Mise à jour de sécurité pour Windows OLE (3146706)
Cette mise à jour de sécurité corrige une vulnérabilité dans Microsoft Windows. La vulnérabilité pourrait permettre l’exécution de code à distance si Windows OLE ne parvenait pas à valider correctement l’entrée utilisateur. Un attaquant pourrait exploiter cette vulnérabilité pour exécuter du code malveillant. Toutefois, il devrait d’abord convaincre un utilisateur d’ouvrir un fichier ou un programme spécialement conçu à partir d’une page web ou d’un message électronique.
Important
Exécution de code à distance
Microsoft Windows
MS16-045
Mise à jour de sécurité pour Windows Hyper-V (3143118)
Cette mise à jour de sécurité corrige des vulnérabilités dans Microsoft Windows. La plus grave des vulnérabilités pourrait permettre l’exécution de code à distance si un attaquant authentifié sur un système d’exploitation invité exécutait une application spécialement conçue qui ferait en sorte que le système d’exploitation hôte Hyper-V exécute du code arbitraire. Les clients qui n’ont pas activé le rôle Hyper-V ne sont pas concernés.
Important
Exécution de code à distance
Microsoft Windows
MS16-046
Mise à jour de sécurité pour le service d’ouverture de session secondaire (3148538)
Cette mise à jour de sécurité corrige une vulnérabilité dans Microsoft Windows. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait exécuter du code arbitraire en tant qu’administrateur.
Important
Elévation de Privilèges
Microsoft Windows
MS16-047
Mise à jour de sécurité pour les protocoles distants SAM et LSAD (3148527)
Cette mise à jour de sécurité corrige une vulnérabilité dans Microsoft Windows. Cette vulnérabilité pourrait permettre une élévation de privilèges si un attaquant lançait une attaque de l’intercepteur. Un attaquant pourrait alors forcer le passage à une version antérieure du niveau d’authentification du canal RPC et emprunter l’identité d’un utilisateur authentifié.
Important
Élévation de privilèges
Microsoft Windows
MS16-048
Mise à jour de sécurité pour CSRSS (3148528)
Cette mise à jour de sécurité corrige une vulnérabilité dans Microsoft Windows. Cette vulnérabilité pourrait permettre de contourner la fonctionnalité de sécurité si un attaquant se connectait à un système cible et exécutait une application spécialement conçue.
Important
Contourner la fonctionnalité de sécurité
Microsoft Windows
MS16-049
Mise à jour de sécurité pour HTTP.sys (3148795)
Cette mise à jour de sécurité corrige une vulnérabilité dans Microsoft Windows. Cette vulnérabilité pourrait permettre un déni de service si un attaquant envoyait un paquet HTTP spécialement conçu à un système cible.
Important
Déni de service
Microsoft Windows
MS16-050
Mise à jour de sécurité pour Adobe Flash Player (3154132)
Cette mise à jour de sécurité corrige des vulnérabilités dans Adobe Flash Player sur toutes les éditions prises en charge de Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows RT 8.1 et Windows 10.
Critique
Exécution de code à distance
Microsoft Windows,
Adobe Flash Player

Lien direct vers les informations du bulletin : ici