La découverte récente d’une vulnérabilité multi-OS CVE-2018-8897 au niveau de divers produits de la marque (Windows, Linux, MacOS…) a fortement remis en cause la gestion des failles de sécurité chez Microsoft.

Le traditionnel correctif de Microsoft

La correction des erreurs et des failles est une priorité pour Microsoft. Rien que pour le mois de mai, quelques 68 vulnérabilités ont été résolues dont 24 classées comme des failles critiques. L’un des risques majeurs par exemple est l’existence d’une faille qui pourrait nuire à la sécurité des données utilisateur. Les chercheurs de Zero Day Initiative détaillent chaque faille avec précision dans un compte-rendu.

La faille CVE-2018-8174 est sans aucun doute la plus inquiétante pour les internautes, car elle permettrait à un site web malveillant de prendre entièrement le contrôle de votre machine à votre insu. Les ingénieurs de Microsoft ont donc conçu le patch correcteur qui empêche les sites d’exécuter à distance le code VBScript de Windows.

L’autre danger important provient de la faille CVE-2018-8117 concernant le matériel et plus précisément le clavier sans fil Microsoft Keyboard 850. Ce type de clavier permettait, avant le correctif, d’enregistrer les frappes et de repérer les séquences de mots de passe facilitant ainsi aux pirates de commander et de contrôler le clavier à distance.

Le moteur de protection malware de Microsoft était également exposé en l’absence de correctif de la faille CVE-2018-0986. Les conséquences peuvent être graves puisque le simple scan classique d’un fichier malveillant suffit à commander l’exécution du code.

La mise à jour cumulative pour être bien protégée

Comme ces failles peuvent affecter les différents navigateurs web, il est essentiel de lancer l’installation des mises à jour cumulatives pour que les corrections apportées par Microsoft soient opérationnelles. Le système d’exploitation qui peut se connecter à Internet, bénéficie ainsi d’une meilleure protection.