Microsoft vient de publier le Patch Tuesday pour le mois de Novembre 2014. Il comporte 15 bulletins de sécurité, dont quatre qualifiés de critique. Il corrige des vulnérabilités sur Windows, Internet Explorer, Office, SharePoint et .NET Framework.
Numéro de Bulletin |
Niveau de sévérité |
Systèmes concernés |
Type (description) |
Redémarrage |
MS14-064 |
Windows Server 2003, Windows Vista SP2, Windows Server 2008 SP2, Windows 7 SP1, Windows Server 2008 R2 SP1, Windows 8, Windows 8.1, Windows RT, Windows RT 8.1 Windows Server 2012, et Windows Server 2012 R2 |
Cette mise à jour de sécurité corrige deux vulnérabilités signalées confidentiellement dans Microsoft Windows Object Linking et Embedding (OLE - objet liaison et incorporation d'objets). La plus grave de ces vulnérabilités pourrait permettre l'exécution de code à distance si un utilisateur affichait une page Web spécialement conçue à l'aide d'Internet Explorer. |
Peut Être Requis |
|
MS14-065 |
Internet Explorer 6, 7, 8, 9, 10, et 11 |
Cette mise à jour de sécurité corrige dix-sept vulnérabilités signalées confidentiellement dans Internet Explorer. La plus grave de ces vulnérabilités pourrait permettre l'exécution de code à distance si un utilisateur affichait une page Web spécialement conçue à l'aide d'Internet Explorer. |
Requis |
|
MS14-066 |
Windows Server 2003, Windows Vista SP2, Windows Server 2008 SP2, Windows 7 SP1, Windows Server 2008 R2 SP1, Windows 8, Windows 8.1, Windows RT, Windows RT 8.1 Windows Server 2012, et Windows Server 2012 R2 |
Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement dans le package de sécurité Schannel (Microsoft Secure Channel) dans Windows. Cette vulnérabilité pourrait permettre l'exécution de code à distance si un utilisateur malveillant envoie des paquets spécialement conçus à un serveur Windows. |
Requis |
|
MS14-067 |
Windows Server 2003, Windows Vista SP2, Windows Server 2008 SP2, Windows 7 SP1, Windows Server 2008 R2 SP1, Windows 8, Windows 8.1, Windows RT, Windows RT 8.1 Windows Server 2012, et Windows Server 2012 R2 |
Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement dans Microsoft Windows. Cette vulnérabilité pourrait permettre l'exécution de code à distance si un utilisateur visitait à l'aide d'Internet Explorer un site Web non fiable spécialement conçu pour invoquer Microsoft XML Core Services® (MSXML). |
Peut Être Requis |
|
MS14-068 |
|
Windows Server 2003, Windows Vista SP2, Windows Server 2008 SP2, Windows 7 SP1, Windows Server 2008 R2 SP1, Windows 8, Windows 8.1, Windows Server 2012, et Windows Server 2012 R2 | Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement dans Kerberos KDC qui pourrait permettre à un attaquant d'élever compte d'utilisateur de domaine sans privilèges à ceux équivalent à un compte d'administrateur de domaine. Un attaquant pourrait utiliser ces privilèges élevés pour compromettre un ordinateur dans le domaine, y compris les contrôleurs de domaine. Un attaquant doit disposer d'informations de domaine valides pour exploiter cette vulnérabilité. Lorsque ce bulletin de sécurité a été émis, Microsoft a connaissance d'attaques limitées et ciblées qui tentent d'exploiter cette vulnérabilité. | Requis |
MS14-069 |
Word 2007 SP3, et Word Viewer |
Cette mise à jour de sécurité corrige trois vulnérabilités signalées confidentiellement dans Microsoft Office. Les vulnérabilités pourraient permettre l'exécution de code à distance si un fichier spécialement conçu est ouvert dans une version affectée de Microsoft Office 2007. |
Peut Être Requis |
|
MS14-070 |
Windows Server 2003 |
Cette mise à jour de sécurité corrige une vulnérabilité signalée publiquement dans TCP/IP qui se produit pendant le traitement de contrôle d'E/S (IOCTL). Cette vulnérabilité pourrait permettre une élévation de privilèges si un attaquant ouvre une session sur un système et exécute une application spécialement conçue. |
Peut Être Requis |
|
MS14-071 |
Windows Vista SP2, Windows Server 2008 SP2, Windows 7 SP1, Windows Server 2008 R2 SP1, Windows 8, Windows 8.1, Windows RT, Windows RT 8.1 Windows Server 2012, et Windows Server 2012 R2 |
Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement dans Microsoft Windows. Cette vulnérabilité pourrait permettre une élévation de privilèges si une application utilise le service Audio de Windows de Microsoft. La vulnérabilité en elle-même n'autorise pas l'exécution de code arbitraire. La vulnérabilité devra être utilisé conjointement avec une autre vulnérabilité permettant l'exécution de code à distance. |
Requis |
|
MS14-072 |
Windows Server 2003, Windows Vista SP2, Windows Server 2008 SP2, Windows 7 SP1, Windows Server 2008 R2 SP1, Windows 8, Windows 8.1, Windows RT, Windows RT 8.1 Windows Server 2012, et Windows Server 2012 R2 |
Cette mise à jour de sécurité corrige une vulnérabilité signalée à titre privé dans Microsoft .NET Framework. Cette vulnérabilité pourrait permettre une élévation de privilèges si un attaquant envoie des données spécialement conçues à un serveur qui utilise .NET Remoting ou un poste de travail affectée. Seules des applications personnalisées qui ont été spécifiquement conçues pour utiliser .NET Remoting exposent un système à la vulnérabilité. |
Peut Être Requis |
|
MS14-073 |
SharePoint Foundation 2010 SP2 |
Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement dans Microsoft SharePoint Server. Un attaquant authentifié qui parviendrait à exploiter cette vulnérabilité pourrait exécuter du script arbitraire dans le contexte de l'utilisateur sur le site SharePoint actuel. Pour une attaque Web, l'attaquant doit héberger un site Web spécialement conçu pour exploiter ces vulnérabilités, puis inciter un utilisateur à consulter ce site. |
Peut Être Requis |
|
MS14-074 |
Windows Vista SP2, Windows Server 2008 SP2, Windows 7 SP1, Windows Server 2008 R2 SP1, Windows 8, Windows 8.1, Windows RT, Windows RT 8.1 Windows Server 2012, et Windows Server 2012 R2 |
Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement dans Microsoft Windows. Cette vulnérabilité pourrait permettre de contourner la fonctionnalité de sécurité lorsque le protocole RDP (Remote Desktop Protocol) ne parvient pas à enregistrer correctement les événements d'audit. |
Requis |
|
MS14-075 |
|
|
||
MS14-076 |
Windows 8, Windows 8.1, Windows Server 2012, et Windows Server 2012 R2 |
Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement dans Microsoft Internet Information Services (IIS) qui pourrait entraîner un contournement de la fonctionnalité de sécurité « Restrictions par adresse IP et nom de domaine ». Une exploitation réussie de cette vulnérabilité peut entraîner l'accès aux ressources web restreintes par des clients à partir de domaines bloqués ou restreints. |
Peut Être Requis |
|
MS14-077 |
Windows Server 2008 SP2, et Windows Server 2008 R2 |
Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement dans les Services de fédération Active Directory (Active Directory Federation Services). Cette vulnérabilité pourrait permettre la divulgation d'informations si un utilisateur laisse son navigateur ouvert après la fermeture d'une application, et si l'attaquant ouvre à nouveau l'application dans le navigateur immédiatement après que l'utilisateur se soit déconnecté. |
Peut Être Requis |
|
MS14-078 |
Office 2007 IME |
Cette mise à jour de sécurité corrige une vulnérabilité signalée dans l'Éditeur IME Microsoft Office (version en japonais). Cette vulnérabilité pourrait permettre de sortir du mode Bac à sable (sandbox), selon la stratégie du mode Bac à sable (sandbox) de l'application, sur un système sur lequel une version affectée de l'Éditeur IME Microsoft Office (version en japonais) est installée. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait sortir du mode Bac à sable (sandbox) d'une application vulnérable et accéder au système affecté avec les privilèges de l'utilisateur connecté. Si l'utilisateur actuel a ouvert une session avec des privilèges d'administrateur, un attaquant pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou bien créer des comptes dotés de tous les privilèges. |
Peut Être Requis |
|
MS14-079 |
Windows Server 2003, Windows Vista SP2, Windows Server 2008 SP2, Windows 7 SP1, Windows Server 2008 R2 SP1, Windows 8, Windows 8.1, Windows RT, Windows RT 8.1 Windows Server 2012, et Windows Server 2012 R2 |
Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement dans Microsoft Windows. Cette vulnérabilité pourrait permettre un déni de service si un attaquant place une police TrueType spécialement conçue sur un partage réseau, et un utilisateur y navigue par la suite avec l'Explorateur Windows. Dans le cas d'une attaque Web, l'attaquant devrait héberger un site Web contenant une page Web spécialement conçue pour exploiter cette vulnérabilité. |
Requis |
Légende :
: Bulletin Critique : Bulletin Important : Bulletin Modéré