Si vous avez tendance à remettre à plus tard les mises à jour de Windows, peut-être serait-il judicieux de vous y mettre, au moins pour cette fois. En effet, la nouvelle vague de correctifs proposés par Microsoft le 8 juin pour ses systèmes d’exploitation contient des rustines critiques qui viennent colmater des vulnérabilités. Certaines de ces vulnérabilités s’avèrent déjà exploitées activement à des fins malveillantes.
Six failles à colmater sans tarder
Plus exactement, six brèches sont utilisées pour mener des opérations contre des postes informatiques équipés de Windows 10 (pas moins de 19 versions de l’O.S. sont exposées), mais aussi Windows 7, Windows 8.1 et plusieurs déclinaisons de Windows Server. La liste des systèmes affectés est disponible sur cette page. Globalement, la totalité des dernières versions de Windows est concernée.
Le degré de dangerosité des failles est mesuré selon une échelle standardisée, qui va de 0,1 à 10. C’est le CVSS (pour Common Vulnerability Scoring System). Dans le cas des six brèches en cause, les notes vont de 5,2 à 8,4. Il est considéré qu’entre 4 et 7, le péril est modéré et au-delà de 9 qu’il est critique. Attention : cela ne veut pas dire les dégâts d’une faille modérée seraient modérés.
Pour les six failles en question, les menaces sont de trois ordres : une exécution de code arbitraire à distance, c’est-à-dire du code malveillant envoyé à travers le réseau ; une atteinte à la confidentialité des données ; et, enfin, une élévation de privilèges, qui permet à un attaquant d’atteindre des compartiments du système d’exploitation qui lui sont censés être hors d’atteinte.
Les failles ont des noms techniques : CVE-2021-31199 (Microsoft Enhanced Cryptographic Provider), CVE-2021-31201 (idem), CVE-2021-31956 (Windows NTFS), CVE-2021-33739 (Microsoft DWM Core Library), CVE-2021-31955 (Windows Kernel Information) et CVE-2021-33742 (Windows MSHTML Platform).
Le centre français de veille, d’alerte et de réponse aux attaques informatiques (CERT-FR), qui dépend de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), vient de consacrer une publication au sujet de ces six failles et recommande évidemment à tout le monde d’appliquer les correctifs dans les plus brefs délais. Un redémarrage du PC sera demandé à l’issue de l’installation.
Au-delà de ces six failles particulièrement sensibles, Microsoft en a aussi profité pour fixer des dizaines d’autres vulnérabilités — ce que relève aussi le CERT-FR dans une publication à part. Ces brèches peuvent conduire à contourner certaines fonctionnalités de sécurité de Windows, mais aussi déboucher sur des fuites de données, l’injection de code malveillant dans le système ou encore un déni de service.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !