microsoft-update

Microsoft vient de publier son Patch Tuesday de Décembre 2014.

Au programme ce mois ci 7 bulletins de sécurités dont trois critiques. Ceux ci concernent Internet Explorer, Windows, Microsoft office et Exchange.

Vous trouverez toutes ces mises à jour sur plusieurs support :

 

Référence du Bulletin
Titre du Bulletin et synthèse
Indice de gravité maximal et type de vulnérabilité
Nécessité de redémarrer
Logiciels concernés
MS14-075
Des vulnérabilités dans Microsoft Exchange Server pourraient permettre une élévation de privilèges (3009712)
Cette mise à jour de sécurité corrige quatre vulnérabilités signalées à titre privé dans Microsoft Exchange Server. Les vulnérabilités les plus graves pourraient permettre une élévation de privilèges si un utilisateur cliquait sur une URL spécialement conçue menant l’utilisateur vers un site Outlook Web App ciblé. Un attaquant n’aurait aucun moyen d’obliger les utilisateurs à visiter un site web spécialement conçu. Un attaquant devrait les convaincre de visiter ce site web, généralement en les incitant à cliquer sur un lien dans un message électronique ou un message instantané menant à son site, puis de cliquer sur l’URL spécialement conçue.
Important
Élévation de privilèges
Peut nécessiter un redémarrage
Microsoft Exchange
MS14-080
Mise à jour de sécurité cumulative pour Internet Explorer (3008923)
Cette mise à jour de sécurité corrige quatorze vulnérabilités signalées à titre privé dans Internet Explorer. La plus grave de ces vulnérabilités pourrait permettre l’exécution de code à distance si un utilisateur affichait une page web spécialement conçue à l’aide d’Internet Explorer. Un attaquant qui parviendrait à exploiter ces vulnérabilités pourrait obtenir les mêmes droits que l’utilisateur actuel. Les clients dont les comptes sont configurés avec des privilèges moins élevés sur le système peuvent subir un impact inférieur à ceux possédant des privilèges d’administrateur.
Critique
Exécution de code à distance
Nécessite un redémarrage
Microsoft Windows,
Internet Explorer
MS14-081
Des vulnérabilités dans Microsoft Word et Microsoft Office Web Apps pourraient permettre l’exécution de code à distance (3017301)
Cette mise à jour de sécurité corrige deux vulnérabilités signalées à titre privé dans Microsoft Word et Microsoft Office Web Apps. Ces vulnérabilités pourraient permettre l’exécution de code à distance si un attaquant parvenait à convaincre un utilisateur d’ouvrir ou de prévisualiser un fichier Microsoft Word spécialement conçu dans une version affectée du logiciel Microsoft Office. Un attaquant qui a réussi à exploiter ces vulnérabilités pourrait obtenir les mêmes droits que l’utilisateur actuel. Si l’utilisateur actuel a ouvert une session avec des privilèges d’administrateur, un attaquant pourrait alors installer des programmes, afficher, modifier ou supprimer des données, ou bien créer des comptes dotés de tous les privilèges. Les clients dont les comptes sont configurés avec des privilèges moins élevés sur le système peuvent subir un impact inférieur à ceux possédant des privilèges d’administrateur.
Critique
Exécution de code à distance
Peut nécessiter un redémarrage
Microsoft Office
MS14-082
Une vulnérabilité dans Microsoft Office pourrait permettre l’exécution de code à distance (3017349)
Cette mise à jour de sécurité corrige une vulnérabilité signalée à titre privé dans Microsoft Office. Cette vulnérabilité pourrait permettre l’exécution de code à distance si un fichier spécialement conçu était ouvert dans une édition affectée de Microsoft Office. Un attaquant ayant réussi à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l’utilisateur actuel. Les clients dont les comptes sont configurés avec des privilèges moins élevés sur le système peuvent subir un impact inférieur à ceux possédant des privilèges d’administrateur.
Important
Exécution de code à distance
Peut nécessiter un redémarrage
Microsoft Office
MS14-083
Des vulnérabilités dans Microsoft Excel pourraient permettre l’exécution de code à distance (3017347)
Cette mise à jour de sécurité corrige deux vulnérabilités signalées à titre privé dans Microsoft Excel. Ces vulnérabilités pourraient permettre l’exécution de code à distance si un attaquant parvenait à convaincre un utilisateur d’ouvrir ou de prévisualiser un fichier Microsoft Excel spécialement conçu dans une version affectée du logiciel Microsoft Office. Un attaquant qui a réussi à exploiter ces vulnérabilités pourrait obtenir les mêmes droits que l’utilisateur actuel. Si l’utilisateur actuel a ouvert une session avec des privilèges d’administrateur, un attaquant pourrait alors installer des programmes, afficher, modifier ou supprimer des données, ou bien créer des comptes dotés de tous les privilèges. Les clients dont les comptes sont configurés avec des privilèges moins élevés sur le système peuvent subir un impact inférieur à ceux possédant des privilèges d’administrateur.
Important
Exécution de Code à distance
Peut nécessiter un redémarrage
Microsoft Office
MS14-084
Une vulnérabilité dans le moteur de script VBScript pourrait permettre l’exécution de code à distance (3016711)
Cette mise à jour de sécurité corrige une vulnérabilité signalée à titre privé dans le moteur de script VBScript dans Microsoft Windows. Cette vulnérabilité pourrait permettre l’exécution de code à distance si un utilisateur visite un site Web spécialement conçu. Un attaquant ayant réussi à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l’utilisateur actuel. Si l’utilisateur actuel a ouvert une session avec des privilèges d’administrateur, un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral d’un système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges.
Critique
Exécution de Code à distance
Peut nécessiter un redémarrage
Microsoft Windows
MS14-085
Une vulnérabilité dans le composant Microsoft Graphics pourrait permettre la divulgation d’informations (3013126)
Cette mise à jour de sécurité corrige une vulnérabilité révélée publiquement dans Microsoft Windows. La vulnérabilité pourrait permettre la divulgation d’informations si un utilisateur accède à un site web comportant du contenu JPEG spécialement conçu. Un attaquant pourrait utiliser cette vulnérabilité de divulgation pour obtenir des informations sur le système et les combiner avec d’autres attaques pour compromettre le système. La vulnérabilité de divulgation d’informations en elle-même n’autorise pas l’exécution de code arbitraire. Toutefois, un attaquant pourrait combiner cette vulnérabilité de divulgation avec une autre vulnérabilité pour contourner des fonctionnalités de sécurité telles que la randomisation du format d’espace d’adresse (ASLR).
Important
Divulgation d’information
Peut nécessiter un redémarrage
Microsoft Windows

Lien direct vers les informations du bulletin : ici