Parmi les 12 bulletins de sécurité qui nous intéressent aujourd’hui, dont un concerne Adobe, la moitié sont classés comme critiques et l’autre moitié comme importants.

Concernant les navigateurs, la mise à jour d’Internet Explorer MS16-144 vient corriger 3 vulnérabilités (CVE-2016-7282, CVE-2016-7281 et CVE-2016-7202) qui avaient été divulguées publiquement avant la disponibilité du patch de ce mardi. La vulnérabilité visée par le bulletin MS16-144 est prioritaire à corriger, puisque un attaquant pourrait prendre le plein contrôle de la machine ciblée. La mise à jour MS16-145 pour Edge résout 3 autres vulnérabilités (CVE-2016-7206, CVE-2016-7282 et CVE-2016-7281) qui ont aussi été divulguées publiquement avant la diffusion du correctif. Le problème d’exécution de code à distance (RCE) peut être exploité si la victime ouvre une page Web malveillante.

Le bulletin Microsoft Office MS16-148 est également critique car il concerne une exécution de code à distance qui peut compromettre les victimes sans aucune interaction de l’utilisateur à cause du volet de lecture. Ceci se produit généralement lorsque le volet de lecture Outlook tente de restituer le contenu d’un courrier électronique après réception d’un mail malveillant. En outre un utilisateur qui ouvre des pièces jointes Office malveillantes constitue un autre scénario d’attaque.

Les bulletins de sécurité MS16-146 et MS16-147 concernent les bibliothèques graphiques et Uniscribe. Les vulnérabilités qu’ils traitent peuvent être compromises si des utilisateurs se rendent sur un site Web malveillant hébergé par un attaquant. Les deux problèmes sont classés comme critiques car ils donnent un contrôle total à l’attaquant qui a réussi un exploit.

Les autres bulletins de décembre sont classés comme importants car les problèmes qu’ils traitent peuvent entraîner des divulgations d’information ou une élévation de privilèges si l’attaquant dispose déjà de certificats valides.