Top 30 Vulnérabilités à risque élevé

Numéro : TR15-004
Date : le 30 avril 2015

Objet

Le but de ce rapport technique est de fournir un aperçu des vulnérabilités logicielles à plus haut risque qui sont utilisées pour cibler les organisations d'infrastructures critiques, ainsi que des recommandations de prévention et d'atténuation. La présente évaluation a été élaborée en collaboration avec nos partenaires des États-Unis, du Royaume-Uni, du Centre australien cyber sécurité  et de la Nouvelle-Zélande.

Évaluation

Les attaques persistantes sophistiquées et les agents malveillants exploitent toujours les vulnérabilités non corrigées pour mener des attaques contre les organisations de l'infrastructure essentielle. Les vulnérabilités des logiciels non mise-à-jour fournissent des points d'entrée aux acteurs malveillants dans un réseau. Le CCRIC recommande aux organisations de s'assurer que leurs réseaux sont protégés contre les vulnérabilités décrites dans ce rapport.

Qu'est-Ce Qu'une Vulnerabilité?

Les vulnérabilités de la cybersécurité sont définies comme des lacunes ou des faiblesses dans les logiciels qui peuvent permettre à un acteur malveillant de compromettre l'intégrité, la disponibilité ou la confidentialité d'un système ou d'un réseau.

Les vulnérabilités publiquement connues sont suivies avec le système Common Vulnerabilities and Exposures (CVE). Ce système crée un identificateur unique pour toutes les nouvelles vulnérabilités, établissant une référence standard pour les professionnels de la sécurité de l'information.

Une vulnérabilité est seulement une partie de ce qui est requis pour compromettre un système. Trois exigences fondamentales doivent être respectées afin que les acteurs malveillants puissent mener une attaque réussie :

Être conscient des vulnérabilités les plus fréquemment exploitées et s'assurer qu'elles sont corrigées renforce la défense de votre organisation.

Maintenir Des Logiciels À Jour

Parfois, le nombre de correctifs requis peut sembler immense. C'est pourquoi il est nécessaire que toutes les organisations établissent un processus de gestion des correctifs permanent et robuste afin de s'assurer que les mesures préventives adéquates sont prises contre les menaces potentielles. Plus longtemps un système demeure sans correctif, plus longtemps il est vulnérable à la compromission. Une fois qu'un correctif est publiquement diffusé, la vulnérabilité sous-jacente peut être découverte par rétro-ingénierie par les acteurs malveillants afin de créer un exploit. Selon les données recueillies à ce sujet, ce processus peut prendre de 24 heures à quatre jours. L'application des correctifs à temps est l'une des démarches les plus faibles en coût, mais aussi l'une des plus efficaces, qu'une organisation peut prendre afin de réduire au minimum son exposition aux menaces auxquelles fait face son réseau.

Répercussions De La Compromission Du Réseau

Les vulnérabilités non corrigées offrent aux acteurs malveillants un point d'entrée dans votre réseau. Une fois à l'intérieur, les attaquants peuvent effectuer un certain nombre d'activités dommageables, y compris les suivantes :

Les répercussions de l'infection subséquente peuvent être graves, particulièrement si la compromission devient publique et que des renseignements confidentiels sont divulgués. Les répercussions possibles comprennent les suivantes :

Vulnérabilités Les Plus Communément Exploitées

Les cadres devraient s'assurer que les correctifs des vulnérabilités de logiciels suivantes ont été appliqués par les professionnels de la sécurité de l'information de leur organisation.

Produits Microsoft
CVE Produits ou versions touchés Renseignements sur le correctif

CVE-2006-3227

Internet Explorer 6

Renseignements sur les mesures d'atténuation

CVE-2008-2244

Office Word 2002 SP3

Renseignements sur les mesures d'atténuation

CVE-2009-3129

Office Excel 2002 SP3
Office Excel 2003 SP3
Office Excel 2007 SP1 et SP2
Office 2004 pour Mac
Office 2008 pour Mac
Open XML Convertisseur de formats de fichier pour Mac
Office Excel Viewer 2003 SP3
Office Excel Viewer SP1 et SP2
Office Compatibility Pack pour Word, Excel, et PowerPoint 2007 File Formats SP1 et  SP2

Renseignements sur les mesures d'atténuation

CVE-2009-3674

Internet Explorer 8

Renseignements sur les mesures d'atténuation

CVE-2010-0806

Internet Explorer 6, 6 SP1 et 7

Renseignements sur les mesures d'atténuation

CVE-2010-3333

Office XP SP3
Office 2003 SP3,
Office 2007 SP2,
Office 2010
Office 2004 pour Mac,
Office 2008 pour Mac,
Office pour Mac 2011,
Convertisseur de formats de fichier Open XML pour Mac

Renseignements sur les mesures d'atténuation

CVE-2011-0101

Microsoft Excel 2002 SP3

Renseignements sur les mesures d'atténuation

CVE-2012-0158

Office 2003 SP3
Office 2007 SP2 et SP3
Office 2010 Gold et SP1
Composants Web Microsoft Office 2003 SP3
SQL Server 2000 SP4
SQL Server 2005 SP4
SQL Server 2008 SP2/SP3/ R2

BizTalk Server 2002 SP1,
Commerce Server 2002 SP4
Commerce Server 2007 SP2
Commerce Server 2009 Gold et R2
Visual Basic 6.0 Runtime
Visual FoxPro 8.0 SP1
Visual FoxPro 9.0 SP2

Renseignements sur les mesures d'atténuation

CVE-2012-1856

Office 2003 SP3
Composants Web Microsoft Office 2003 SP3
Office 2007 SP2 et SP3
Office 2010 SP1
SQL Server 2000 SP4
SQL Server 2005 SP4
SQL Server 2008 SP2/SP3/ R2/ R2 SP1/R2 SP2
Commerce Server 2002 SP4
Commerce Server 2007 SP2
Commerce Server 2009 Gold et R2
Host Integration Server 2004 SP1
Visual Basic 6.0 Runtime
Visual FoxPro 8.0 SP1.
Visual FoxPro 9.0 SP2

Renseignements sur les mesures d'atténuation

CVE-2012-4792

Internet Explorer versions 6, 7 et 8

Renseignements sur les mesures d'atténuation

CVE-2013-0074

Microsoft Silverlight 5 et 5 Developer Runtime, avant 5.1.20125.0

Renseignements sur les mesures d'atténuation

CVE-2013-1347

Internet Explorer 8

Renseignements sur les mesures d'atténuation

CVE-2014-0322

Internet Explorer 9 et 10

Renseignements sur les mesures d'atténuation

CVE-2014-1761

Office Word 2003 PS3
Office Word 2007 SP3
Office Word 2010 SP1/SP2
Office Word 2013/2013 RT
Office Word Viewer
Pack de compatibilité de Microsoft Office PS3
Office pour Mac 2011
Word Automation Services sur SharePoint Server 2010 SP1 et SP2
Word Automation Services sur Sharepoint Server 2013

Office Web Apps 2010 SP1 et SP2
Office Web Apps Server 2013

Renseignements sur les mesures d'atténuation

CVE-2014-1776

Internet Explorer 6, 7, 8, 9, 10 et 11

Renseignements sur les mesures d'atténuation

CVE-2014-4114

Windows Vista SP2
Windows Server 2008 SP2/R2 SP1
Windows 7 SP1
Windows 8,
Windows 8.1
Windows Server 2012 Gold et R2
Windows RT Gold et 8.1

Renseignements sur les mesures d'atténuation

Oracle Java
CVE Produits ou versions touchés Renseignements sur le correctif

CVE-2012-1723

Java Development Kit et JRE 7 Mise à jour 4 et antérieures
Java Development Kit et JRE 6 Mise à jour 32 et antérieures
Java Development Kit et JRE 5 Mise à jour 35 et antérieures
Software Development Kit et JRE 5 1.4.2_37 et antérieures

Renseignements sur les mesures d'atténuation

CVE-2013-2465

Java Development Kit et JRE 7 Mise à jour 21 et antérieures
Java Development Kit et JRE 6 Mise à jour 45 et antérieures
Java Development Kit et JRE 5 Mise à jour 45 et antérieures

Renseignements sur les mesures d'atténuation

Produits Adobe

Adobe ColdFusion
CVE Produits ou versions touchés Renseignements sur le correctif

CVE-2013-0625

Versions 9.0 à 9.02

Renseignements sur les mesures d'atténuation

CVE-2013-0632

Versions 9.0 à 9.02 et 10

Renseignements sur les mesures d'atténuation

CVE-2013-3336

Versions 9.0 à 9.02 et 10

Renseignements sur les mesures d'atténuation

CVE-2013-5326

9.0 avant Mise à jour 12, 9.0.1 avant Mise à jour 11, 9.0.2 avant Mise à jour 6, et 10 avant Mise à jour 12

Renseignements sur les mesures d'atténuation

Adobe Reader
CVE Produits ou versions touchés Renseignements sur le correctif

CVE-2010-2883

Adobe Reader 9.x avant 9.4, et  8.x avant 8.2.5 sur  Windows et  Mac OS X

Renseignements sur les mesures d'atténuation

CVE-2011-2462

Adobe Reader 10.1.1 et antérieures sur Windows and Mac OS X
Adobe Reader 9.x a 9.4.6 sur UNIX

Renseignements sur les mesures d'atténuation

CVE-2013-2729

Adobe Reader 9.x avant 9.5.5, 10.x avant 10.1.7, et 11.x avant 11.0.03

Renseignements sur les mesures d'atténuation

CVE-2009-3953

Adobe Reader 9.x avant 9.3, 8.x avant 8.2 sur Windows et Mac OS X, et 7.x avant 7.1.4

Renseignements sur les mesures d'atténuation

CVE-2010-0188

Adobe Reader 8.x avant 8.2.1 et 9.x avant 9.3.1

Renseignements sur les mesures d'atténuation

CVE-2011-0611

Adobe Reader 9.x avant 9.4.4 et 10.x a 10.0.1 sur Windows et 9.x avant 9.4.4 et 10.x avant 10.0.3 sur Mac OS X.

Renseignements sur les mesures d'atténuation

Adobe – Acrobat
CVE Produits ou versions touchés Renseignements sur le correctif

CVE-2009-3953

Acrobat 9.x avant 9.3, 8.x avant 8.2 sur Windows et Mac OS X, et 7.x avant 7.1.4

Renseignements sur les mesures d'atténuation

CVE-2010-0188

Acrobat 8.x avant 8.2.1 et 9.x avant 9.3.1

Renseignements sur les mesures d'atténuation

CVE-2010-2883

Acrobat 9.x avant 9.4, et 8.x avant 8.2.5 sur Windows et Mac OS X

Renseignements sur les mesures d'atténuation

CVE-2011-0611

Acrobat 9.x avant 9.4.4 et 10.x avant 10.0.3 sur Windows et Mac OS X

Renseignements sur les mesures d'atténuation

CVE-2011-2462

Acrobat 10.1.1 et  antérieures sur Windows et Mac OS X

Renseignements sur les mesures d'atténuation

CVE-2013-2729

Acrobat 9.x avant 9.5.5, 10.x avant 10.1.7, et 11.x avant 11.0.03

Renseignements sur les mesures d'atténuation

Adobe – Flash Player
CVE Produits ou versions touchés Renseignements sur le correctif

CVE-2011-0611

Adobe Flash Player avant 10.2.154.27 sur Windows, Mac OS X, Linux et Solaris
Adobe Flash Player 10.2.156.12 et antérieures d' Android

Renseignements sur les mesures d'atténuation

CVE-2014-0564

Adobe Flash Player avant 13.0.0.250 et 14.x et 15.x avant 15.0.0.189 sur Windows et OS X et avant 11.2.202.411 sur Linux

Renseignements sur les mesures d'atténuation

Adobe – Air
CVE Produits ou versions touchés Renseignements sur le correctif

CVE-2011-0611

Adobe AIR avant 2.6.19140

Renseignements sur les mesures d'atténuation

CVE-2014-0564

Adobe AIR avant 15.0.0.293
Adobe AIR SDK avant 15.0.0.302
Adobe AIR SDK & Compiler avant 15.0.0.302

Renseignements sur les mesures d'atténuation

OpenSSL
CVE Produits ou versions touchés Renseignements sur le correctif

CVE-2014-0160

OpenSSL v 1.0.1 - 1.0.1f

Renseignements sur les mesures d'atténuation

Renseignements Sur Les Mesures D'Atténuation

Stratégies d'atténuation complètes

Dans le cadre d'une stratégie de sécurité exhaustive, le CCRIC recommande que les administrateurs de réseau appliquent les quatre stratégies d'atténuation suivantes, lesquelles peuvent aider à prévenir jusqu'à 85 % des cyberattaques ciblées :

Rang Stratégie d'atténuation Justification

1

Créer une liste blanche des applications pour aider à empêcher l'exécution de logiciels malveillants et non autorisés.

La liste blanche des applications est une des meilleures stratégies de sécurité, puisqu'elle ne permet l'exécution que de programmes précis et empêche l'exécution de tous les autres programmes, dont les logiciels malveillants.

2

Installer les correctifs des applications comme Java, visualiseur PDF, Flash, navigateurs Web et Microsoft Office.

La plupart des attaques ciblent les applications et les systèmes d'exploitation vulnérables. Le fait de s'assurer que les correctifs les plus récents ont été installés pour ces applications permettra de réduire considérablement le nombre de points d'entrée que les attaquants peuvent exploiter.

3

Installer les correctifs du système d'exploitation.

4

Restreindre les privilèges administratifs des systèmes d'exploitation et des applications en fonction des tâches de l'utilisateur.

Le fait de restreindre ces privilèges pourrait empêcher l'exécution de logiciels malveillants ou limiter leur capacité de se répandre dans le réseau.

Le CCRIC recommande aussi que les partenaires examinent son document intitulé Principes de prévention contre les menaces sophistiquées et persistantes et Security Tip (ST13-003) (conseils de sécurité) de l'US-CERT pour obtenir des renseignements généraux supplémentaires et aider à la détection des activités malveillantes qui sont liées aux menaces sophistiquées et persistantes, ainsi qu'à l'intervention et au rétablissement à la suite d'une telle attaque.

Références

Note aux lecteurs

En appui à la mission de Sécurité publique Canada de bâtir un Canada sécuritaire et résilient, le mandat du CCRIC est d'aider à assurer la sécurité et la résilience des cybersystèmes essentiels non gouvernementaux à la base de la sécurité nationale, de la sécurité publique et de la prospérité économique du pays. À titre d'équipe d'intervention en cas d'incident lié à la sécurité informatique du Canada, le CCRIC agit comme centre national de coordination pour la prévention, l'atténuation, l'intervention et le rétablissement liés aux incidents cybernétiques commis contre des systèmes non fédéraux. Pour ce faire, il formule des conseils éclairés, offre du soutien et coordonne l'échange de renseignements ainsi que l'intervention.

S'il vous plaît noter que la clé PGP du CCRIC a récemment été mise à jour.
http://www.securitepublique.gc.ca/cnt/ntnl-scrt/cbr-scrt/_fl/CCIRCPublicPGPKey.txt

Pour obtenir des renseignements de nature générale, veuillez communiquer avec la division des Affaires publiques de l'organisme :

Téléphone : 613-944-4875 ou 1-800-830-3118  
Télécopieur : 613-998-9589 
Courriel : ps.communications-communications.sp@canada.ca



Appendice : Vulnérabilitiés Communément Exploitées Renseignements Sur Les Correctifs

Microsoft Produits Multiples

CVE-2006-3227

Cette vulnérabilité touche Internet Explorer 6; elle peut permettre à des attaquants à distance de modifier la présentation visuelle des pages Web et de possiblement contourner les mécanismes de protection tels que les filtres du contenu au moyen de caractères ASCII en appliquant le 8e bit, lequel peut être ignoré par Internet Explorer pour afficher du texte lisible, mais pas par les autres navigateurs.

La référence de Microsoft pour cette vulnérabilité se retrouve sur le Malware Protection Centre. Il n'existe aucun bulletin de sécurité.

CVE-2008-2244

Cette vulnérabilité touche Word 2002 SP3 et Word 2003 SP2/SP3. Microsoft recommande que les clients appliquent la mise à jour MS08-042 le plus tôt possible.

REMARQUE : Le soutien public a pris fin pour Word 2002 depuis le 11 juillet 2006 et le 14 avril 2009 pour Word 2003. Ce changement influence les mises à jour de votre logiciel et vos options de sécurité.

CVE-2009-3674

Cette vulnérabilité touche Internet Explorer 8 seulement.

Microsoft a informé les clients qui ont la mise à jour automatique activée et ils n'auront aucune action à prendre. Les clients qui n'ont pas activé la mise à jour automatique doivent vérifier les mises à jour et installer cette mise à jour manuellement. Microsoft recommande que les clients appliquent immédiatement la mise à jour au moyen du logiciel de gestion des mises à jour ou en vérifiant les mises à jour au moyen du service Microsoft Update.

CVE-2009-3129

Cette vulnérabilité touche de nombreux produits Microsoft : Office 2004 et 2008 pour Mac, Pack de compatibilité de Microsoft Office pour les formats de fichiers Word, Excel et PowerPoint 2007 SP1 et SP2, Office Excel 2002 SP3, Office Excel 2003 SP3, Office Excel 2007 SP1 et SP2, Office Excel Viewer 2003 SP3, Office Excel Viewer SP1 et SP2, Convertisseur de formats de fichier Open XML pour Mac.

Microsoft recommande que les clients appliquent la mise à jour MS09-067 le plus tôt possible.

Remarque : Le soutien public a pris fin pour Excel 2002 depuis le 11 juillet 2006, le 14 avril 2009 pour Excel 2003 et le 9 octobre 2012 pour Excel 2007. Ce changement influence les mises à jour de votre logiciel et vos options de sécurité.

CVE-2010-0806

Cette vulnérabilité touche Internet Explorer 6, 6 SP1 et 7.

Microsoft a informé les clients qui ont la mise à jour automatique activée et ils n'auront aucune action à prendre. Les clients qui n'ont pas activé la mise à jour automatique doivent vérifier les mises à jour et installer cette mise à jour manuellement. Microsoft recommande que les clients appliquent immédiatement la mise à jour au moyen du logiciel de gestion des mises à jour ou en vérifiant les mises à jour au moyen du service Microsoft Update.

Remarque : Les solutions de rechange antérieures devront être désinstallées avant d'installer cette mise à jour.

CVE-2010-3333

Cette vulnérabilité touche de nombreux produits Microsoft : Office 2003 SP3, Office 2004 pour Mac, Office 2007 SP2, Office 2008 pour Mac, Office 2010, Office pour Mac 2011, Office XP SP3, Convertisseur de formats de fichier Open XML pour Mac. Microsoft recommande que les clients appliquent la mise à jour MS10-087 le plus tôt possible.

Remarque : Le soutien public a pris fin pour Office 2003 depuis le 14 avril 2009, le 10 janvier 2012 pour Office 2004 pour Mac, le 9 octobre 2012 pour Office 2007, le 9 avril 2013 pour Office 2008 pour Mac et le 11 juillet 2006 pour Office XP. Ce changement influence les mises à jour de votre logiciel et vos options de sécurité.

CVE-2011-0101

Cette vulnérabilité ne touche qu'Excel 2002 SP3.

Microsoft a informé les clients qui ont la mise à jour automatique activée et ils n'auront aucune action à prendre. Les clients qui n'ont pas activé la mise à jour automatique doivent vérifier les mises à jour et installer cette mise à jour manuellement. Microsoft recommande que les clients appliquent immédiatement la mise à jour au moyen du logiciel de gestion des mises à jour ou en vérifiant les mises à jour au moyen du service Microsoft Update.

Remarque : Le soutien public a pris fin pour Excel 2002 depuis le 11 juillet 2006. Ce changement influence les mises à jour de votre logiciel et vos options de sécurité.

CVE-2012-0158

Cette vulnérabilité touche de nombreux produits Microsoft : BizTalk Server 2002 SP1, Commerce Server 2002 SP4, Commerce Server 2007 SP2, Commerce Server 2009 Gold et R2, Office 2003 SP3, Composants Web Microsoft Office 2003 SP3, Office 2007 SP2 et SP3, Office 2010 Gold et SP1, SQL Server 2000 SP4, SQL Server 2005 SP4, SQL Server 2008 SP2/SP3/ R2, Visual Basic 6.0 Runtime, Visual FoxPro 8.0 SP1, Visual FoxPro 9.0 SP2.

Microsoft a informé les clients qui ont la mise à jour automatique activée et ils n'auront aucune action à prendre. Les clients qui n'ont pas activé la mise à jour automatique doivent vérifier les mises à jour et installer cette mise à jour manuellement. Microsoft recommande que les clients appliquent immédiatement la mise à jour au moyen du logiciel de gestion des mises à jour ou en vérifiant les mises à jour au moyen du service Microsoft Update.

Remarque : Le soutien public a pris fin pour les produits touchés excepté Office 2010. Ce changement influence les mises à jour de votre logiciel et vos options de sécurité.

CVE-2012-1856

Cette vulnérabilité touche de nombreux produits Microsoft : Commerce Server 2002 SP4, Commerce Server 2007 SP2, Commerce Server 2009 Gold et R2, Host Integration Server 2004 SP1, Office 2003 SP3, Composants Web Microsoft Office 2003 SP3, Office 2007 SP2 et SP3, Office 2010 SP1, SQL Server 2000 SP4, SQL Server 2005 SP4, SQL Server 2008 SP2/SP3/ R2/ R2 SP1/R2 SP2, Visual Basic 6.0 Runtime, Visual FoxPro 8.0 SP1 et Visual FoxPro 9.0 SP2

Microsoft a informé les clients qui ont la mise à jour automatique activée et ils n'auront aucune action à prendre. Les clients qui n'ont pas activé la mise à jour automatique doivent vérifier les mises à jour et installer cette mise à jour manuellement. Microsoft recommande que les clients appliquent immédiatement la mise à jour au moyen du logiciel de gestion des mises à jour ou en vérifiant les mises à jour au moyen du service Microsoft Update.

Remarque : Le soutien public a pris fin pour les produits touchés excepté Office 2010. Ce changement influence les mises à jour de votre logiciel et vos options de sécurité.

CVE-2012-4792

Cette vulnérabilité touche Internet Explorer 6, 7 et 8.

Microsoft a informé les clients qui ont la mise à jour automatique activée et ils n'auront aucune action à prendre. Les clients qui n'ont pas activé la mise à jour automatique doivent vérifier les mises à jour et installer cette mise à jour manuellement. Microsoft recommande que les clients appliquent immédiatement la mise à jour au moyen du logiciel de gestion des mises à jour ou en vérifiant les mises à jour au moyen du service Microsoft Update.

CVE-2013-1347

Cette vulnérabilité touche Internet Explorer 8 seulement.

Microsoft a informé les clients qui ont la mise à jour automatique activée et ils n'auront aucune action à prendre. Les clients qui n'ont pas activé la mise à jour automatique doivent vérifier les mises à jour et installer cette mise à jour manuellement. Microsoft recommande que les clients appliquent immédiatement la mise à jour au moyen du logiciel de gestion des mises à jour ou en vérifiant les mises à jour au moyen du service Microsoft Update.

CVE-2013-0074

Cette vulnérabilité touche seulement Silverlight 5 et 5 Developer Runtime avant 5.1.20125.0.

Microsoft a informé les clients qui ont la mise à jour automatique activée et ils n'auront aucune action à prendre. Les clients qui n'ont pas activé la mise à jour automatique doivent vérifier les mises à jour et installer cette mise à jour manuellement. Microsoft recommande que les clients appliquent immédiatement la mise à jour au moyen du logiciel de gestion des mises à jour ou en vérifiant les mises à jour au moyen du service Microsoft Update.

CVE-2014-1761

Cette vulnérabilité touche de nombreux produits Microsoft : Pack de compatibilité de Microsoft Office, Office pour Mac 2011, Office Web Apps 2010 SP1 et SP2, Office Web Apps Server 2013, Office Word 2003 PS3, Office Word 2007 SP3, Office Word 2010 SP1/SP2, Office Word 2013/2013 RT, Office Word Viewer, Word Automation Services sur Sharepoint Server 2010 SP1/ SP2 et Word Automation Services sur Sharepoint Server 2013.

Microsoft a informé les clients qui ont la mise à jour automatique activée et ils n'auront aucune action à prendre. Les clients qui n'ont pas activé la mise à jour automatique doivent vérifier les mises à jour et installer cette mise à jour manuellement. Microsoft recommande que les clients appliquent immédiatement la mise à jour au moyen du logiciel de gestion des mises à jour ou en vérifiant les mises à jour au moyen du service Microsoft Update.

Remarque : Le soutien public a pris fin pour Word 2003 depuis le 14 avril 2009 et le 9 octobre 2012 pour Word 2007. Ce changement influence les mises à jour de votre logiciel et vos options de sécurité.

CVE-2014-4114

Cette vulnérabilité touche de nombreuses versions des systèmes d'exploitation Windows : Windows 7 SP1, Windows 8, Windows 8.1, Windows Server 2008 SP2/R2 SP1, Windows Server 2012 Gold et R2, Windows RT Gold et 8.1,  Windows Vista SP2.

Microsoft a informé les clients qui ont la mise à jour automatique activée et ils n'auront aucune action à prendre. Les clients qui n'ont pas activé la mise à jour automatique doivent vérifier les mises à jour et installer cette mise à jour manuellement. Microsoft recommande que les clients appliquent immédiatement la mise à jour au moyen du logiciel de gestion des mises à jour ou en vérifiant les mises à jour au moyen du service Microsoft Update.

Remarque : Depuis le 13 janvier 2015, le soutien public a pris fin pour Windows 7 et Windows Server 2008 et le 10 avril 2012 pour Windows Vista. Ce changement influence les mises à jour de votre logiciel et vos options de sécurité.

CVE-2014-0322

Cette vulnérabilité touche Internet Explorer 9 et 10.

Microsoft a informé les clients qui ont la mise à jour automatique activée et ils n'auront aucune action à prendre. Les clients qui n'ont pas activé la mise à jour automatique doivent vérifier les mises à jour et installer cette mise à jour manuellement. Microsoft recommande que les clients appliquent immédiatement la mise à jour au moyen du logiciel de gestion des mises à jour ou en vérifiant les mises à jour au moyen du service Microsoft Update.

CVE-2014-1776

Cette vulnérabilité touche les versions 6, 7, 8, 9, 10 et 11 d'Internet Explorer.

Microsoft a informé les clients qui ont la mise à jour automatique activée et ils n'auront aucune action à prendre. Les clients qui n'ont pas activé la mise à jour automatique doivent vérifier les mises à jour et installer cette mise à jour manuellement. Microsoft recommande que les clients appliquent immédiatement la mise à jour au moyen du logiciel de gestion des mises à jour ou en vérifiant les mises à jour au moyen du service Microsoft Update.

Retour aux vulnérabilités de Microsoft

Oracle Java

Les versions de JDK et JRE 7 Mise à jour 4 et antérieures sont touchées par la vulnérabilité CVE-2012-1723. La mise à jour 21 et antérieures sont touchées par la vulnérabilité CVE-2013-2465. Ces versions devraient être mis à jour en suivant les liens ci-dessous.

Les versions de JDK et JRE 6 Mise à jour 32 et antérieures sont touchées par la vulnérabilité CVE-2012-1723. La mise à jour 45 et antérieures sont touchées par la vulnérabilité CVE-2013-2465. Ces versions devraient être mis à jour en suivant les liens ci-dessous. Remarque: Oracle n'affiche plus les mises à jour de Java SE 6 sur ses sites de téléchargements publics depuis février 2013.

Les versions de JDK et JRE 5 Mise à jour 35 et antérieures sont touchées par la vulnérabilité CVE-2012-1723. La mise à jour 45 et antérieures sont touchées par la vulnérabilité CVE-2013-2465. Ces versions devraient être mis à jour en suivant les liens ci-dessous. Remarque: Oracle n'affiche plus les mises à jour de Java SE 5 sur ses sites de téléchargements publics depuis octobre 2009.

Les versions de SDK & JRE 1.4.2_37 et antérieures sont touchées par la vulnérabilité CVE-2012-1723 et devraient être mises à jour en suivant les liens ci-dessous.

Ressources pour l'application de correctifs

Retour aux vulnérabilités d'Oracle Java

Adobe

Adobe ColdFusion

Les versions 9.0 à 9.02 et 10 sont touchées par les vulnérabilités CVE-2013-0625, CVE-2013-0632, CVE-2013-3336 et CVE-2013-5326 et les correctifs à chaud devraient être appliqués en suivant les liens ci-dessous.

Remarque : Le soutien a pris fin pour ColdFusion 9.x – La date de fin du soutien de base est le 31 décembre 2014

Retour aux vulnérabilités d'Adobe ColdFusion

Adobe Acrobat

Les versions 7.1.4 et antérieures sont touchées par les vulnérabilités CVE-2009-3953 et devraient être mises à jour en suivant les liens ci-dessous. Remarque : Le soutien a pris fin pour Acrobat 7.x sur les plates-formes Windows, Macintosh et UNIX – La date de fin du soutien de base est le 28 décembre 2004.

Les versions 8.2 et antérieures sont touchées par les vulnérabilités CVE-2009-3953,  CVE-2010-2883  et CVE-2010-0188 et devraient être mises à jour en suivant les liens ci-dessous. Remarque : Acrobat 8.x sur les plates-formes Windows, Macintosh et Unix – La date de fin du soutien de base et le 3 novembre 2011.

Les versions 9.5.5 et antérieures sont touchées par les vulnérabilités CVE-2009-3953, CVE-2010-0188, CVE-2010-2883, CVE-2011-0611 et CVE-2013-2729 et devraient être mises à jour en suivant les liens ci-dessous. Remarque : Le soutien a pris fin pour Acrobat 9.x sur les plates-formes Windows, Macintosh et UNIX – La date de fin du soutien de base est le 6 juin 2013.

Les versions 10.0.03 et antérieures sont touchées par la vulnérabilité CVE-2011-2462 et CVE-2013-2729 et devraient être mises à jour en suivant les liens ci-dessous.

Les versions 11.0.03 et antérieures sont touchées par la vulnérabilité  CVE-2013-2729 et devraient être mises à jour en suivant les liens ci-dessous.

Retour aux vulnérabilités d'Adobe Acrobat

Adobe Flash Player

Les versions 10.2.154.27 et antérieures, 13.x à 13.0.0.244 et 15.0.0.167 et antérieures sont touchées par les vulnérabilités CVE-2011-0611 et CVE-2014-0564 et devraient être mises à jour en suivant les liens ci-dessous.

Les versions 10.2.146.12 et antérieures pour Android sont touchées par la vulnérabilité CVE-2011-0611 et devraient être mises à jour en parcourant Android Marketplace sur un dispositif Android.

Retour aux vulnérabilités d'Adobe Flash

Adobe Reader

Les versions 7.1.4 et antérieures sont touchées par les vulnérabilités CVE-2009-3953 et devraient être mises à jour en suivant les liens ci-dessous. Remarque : Le soutien a pris fin pour Reader 7.x sur les plates-formes Windows, Macintosh et UNIX – La date de fin du soutien de base est le 28 décembre 2004.

Les versions 8.x et antérieures sont touchées par les vulnérabilités CVE-2009-3953, CVE-2010-2883 et CVE-2010-0188 et devraient être mises à jour en suivant les liens ci-dessous. Remarque : Le soutien a pris fin pour Reader 8.x sur les plates-formes Windows, Macintosh et UNIX – La date de fin du soutien de base est le 3 novembre 2011.

Les versions 9.5.5 et antérieures sont touchées par les vulnérabilités CVE-2009-3953, CVE-2010-0188, CVE-2010-2883, CVE-2011-0611, CVE-2013-2729 et CVE-2011-2462 et devraient être mises à jour en suivant les liens ci-dessous. Remarque : Le soutien a pris fin pour Reader 9.x sur les plates-formes Windows, Macintosh et UNIX – La date de fin du soutien de base est le 26 juin 2013.

Les versions 10.1.1 et antérieures sont touchées par les vulnérabilités CVE-2011-0611, CVE-2013-2729  et CVE-2011-2452 et devraient être mises à jour en suivant les liens ci-dessous.

Les versions 11.x antérieures à 11.0.03 sont touchées par la vulnérabilité CVE-2013-2729 et devraient être mises à jour en suivant les liens ci-dessous.

Retour aux vulnérabilités d'Adobe Reader

Adobe AIR

Les versions 2.6.19140 et antérieures sont touchées par les vulnérabilités CVE-2011-0611 et versions 15.0.0.0293 sont touchées par les vulnérabilités CVE-2014-0564 et devraient être mises à jour à la dernière version d'Adobe AIR.

Les version de Air SDK avant 15.0.0.302 et Air SDK Compiler avant 15.0.0.302 sont touchées par la vulnérabilité CVE-2014-0564 et devraient être mises à jour à la dernière version d'Adobe AIR SDK & Compiler.

Retour aux vulnérabilités d'Adobe AIR

OpenSSL

CVE-2014-0160

Cette vulnérabilité touche OpenSSL v 1.0.1 - 1.0.1f et peut exposer des données privées à un attaquant non authentifié à distance au moyen d'une fonction de traitement de la mémoire erronée dans l'extension Heartbeat du protocole TLS. Cela pourrait permettre à un attaquant à distance de déchiffrer du trafic sécurisé et exposer des justificatifs d'identité et des clés secrètes. OpenSSL est une application populaire communément utilisée dans la navigation Web, les courriels et la messagerie instantanée afin d'offrir un degré de sécurité et de confidentialité. On recommande que les administrateurs de système mettent à l'essai et déploient les mises à jour diffusées par le fournisseur aux plates-formes concernées en conséquence. Pour les clients qui ne sont pas en mesure d'appliquer immédiatement les mises à jour, considérez la désactivation de la prise en charge de Heartbeat avec OpenSSL.

Pour en savoir plus :

Retour aux vulnérabilités OpenSSL

Date de modification :