Comme tous les deuxièmes mardis du mois depuis 2013, Microsoft a révélé le 11 février ses derniers correctifs de sécurité. Le nombre de failles repérées est sans précédent : avec 99 vulnérabilités identifiées, il s’agit du plus gros « Patch Tuesday » de l’histoire.
Douze failles critiques
Ce mois-ci, Microsoft fournit des patchs de sécurité remédiant à douze failles critiques. Sept d’entre elles concernent les navigateurs Edge et Explorer et les moteurs de script, et deux le client Bureau à distance. Un des problèmes les plus graves s’appelle « CVE-2020-0674 ». Il s’agit d’une faille de corruption de mémoire du moteur de script d’Internet Explorer. Connue depuis le 17 janvier, elle a déjà été exploitée. Elle est redoutable, car elle permet à des attaquants d’exécuter du code sur un système dès qu’un utilisateur accède à un site malveillant. On peut également être affecté par ce bug même si on n’utilise pas Internet Explorer, par le biais d’objets intégrés dans les documents Office.
Focus sur les failles classées « importantes »
Les 87 autres failles ont été estimées comme « importantes » par Microsoft. La faille CVE-2020-0689 permet de contourner la fonctionnalité Secure Boot de Microsoft. La faille CVE-2020-0729 affecte les fichiers .lnk. C’est un vecteur d’infection déjà bien connu, car une vulnérabilité similaire a été exploitée par le cheval de Troie Astaroth en septembre dernier. La faille CVE-2020-0688 mérite également une attention particulière : elle permet aux hackers d’exécuter du code sur des serveurs Exchange par un email piégé, sans aucune autre interaction de l’utilisateur. Avec un simple message, un attaquant peut ainsi prendre le contrôle d’un serveur de Messagerie Exchange.
Comment faire la mise à jour ?
Remédier à ces failles est très facile : les mises à jour sont proposées par le service Windows Update, et tout se fait en une seule fois. Pour plus de sécurité, sauvegardez vos fichiers avant de télécharger les patchs de sécurité. Si votre ordinateur tourne encore sous Windows 7, sachez que les mises à jour de sécurité ne sont plus disponibles pour ce système d’exploitation, sauf pour les entreprises qui bénéficient du service de mises à jour payant de Microsoft.
Si vous souhaitez plus d’informations concernant la la sécurité informatique, n’hésitez pas à vous tourner vers un professionnel de l’informatique.