Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

En bref

Oracle, Microsoft : c’est le jour des zero-day !

auteur de l'article Jerome Saiz , dans la rubrique Menaces

Commentaires Commentaires fermés sur Oracle, Microsoft : c’est le jour des zero-day !

C’est le jour des zero-days ! Aujourd’hui à la fois Oracle et Microsoft corrigent deux vulnérabilités majeures dans leurs produits. Toutes deux sont sérieuses et déjà exploitées dans la nature.

Oracle, d’abord, avec une rustine très attendue pour la vulnérabilité CVE-2013-0422. Pour mémoire, celle-ci était exploitée dans la nature depuis ce week-end, et incluse dans plusieurs packs d’exploits, dont Cool EK. Elle permettait l’exécution de code Java arbitraire et en dehors des limitations habituellement imposées par le modèle de sécurité Java. Maintenant que la mise à jour est disponible, il est très vivement conseillé de l’appliquer sans délai.

Hasard du calendrier, Microsoft corrige lui aussi aujourd’hui une vulnérabilité zero-day importante pour Internet Explorer 8 et inférieur (référencée CVE-2012-4792).

Comme c’est devenu souvent le cas, celle-ci a été révélée peu après le dernier Patch Tuesday (11 décembre 2012). Mais elle se révèle suffisamment sérieuse pour que Microsoft lui consacre un patch dédié. L’éditeur avait pourtant proposé une solution temporaire afin de faire patienter jusqu’au Patch Tuesday de janvier, mais celle-ci semble avoir rapidement été contournée. D’où, probablement, la sortie aujourd’hui d’un correctif hors-cycle.

Internet Explorer 9 et 10 ne sont pas concernés par cette vulnérabilité. Pour les autres, la rustine est « critique », et elle devrait donc être appliquée automatiquement via Windows Update, mais il ne fait pas de mal de vérifier.

Selon Microsoft cette vulnérabilité était exploitée « de manière limitée » dans la nature.

> Le bulletin d’alerte d’Oracle

> La synthèse des bulletins de sécurité de Microsoft pour janvier 2013


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.