#41944
Nicolas Coolman
Maître des clés

Bulletin de sécurité Microsoft CVE-2023-2726 du 18 mai 2023

De multiples vulnérabilités ont été découvertes dans Microsoft Edge. Elles permettent à un attaquant de provoquer un problème de sécurité non spécifié par l’éditeur. La vulnérabilité attribuée à cette CVE est présente dans le logiciel open source (OSS) Chromium utilisé par Microsoft Edge (basé sur Chromium). (Sources)

Une implémentation inappropriée dans les installations WebApp dans Google Chrome avant 113.0.5672.126 permettait à un attaquant qui a convaincu un utilisateur d’installer une application Web malveillante de contourner la boîte de dialogue d’installation via une page HTML spécialement conçue. (Gravité de sécurité du chrome : moyenne) (Sources)

Une politique de sécurité informatique est un plan d'actions définies pour maintenir un certain niveau de sécurité. Elle reflète la vision stratégique de la direction de l'organisme (PME, PMI, industrie, administration, État, unions d'États…) en matière de sécurité informatique. Elle est liée à la sécurité de l'information. Elle définit les objectifs de sécurité des systèmes informatiques d'une organisation. Une politique de sécurité informatique est une stratégie visant à maximiser la sécurité informatique d’une entreprise. Elle est matérialisée dans un document qui reprend l’ensemble des enjeux, objectifs, analyses, actions et procédures faisant parti de cette stratégie. La stratégie qui vise à maximiser la sécurité informatique d’une entreprise se matérialise par un document qui regroupe les objectifs, les enjeux et les actions qu'elle doit mettre en œuvre. En complément de la politique de sécurité informatique, les entreprises se dotent d'une charte informatique qui établie des recommandations spécifiques au niveau des technologies informatiques. Certaines cyberattaques réussissent en contournant ou diminuant les politiques de sécurité. Le CERT et le CISA préconisent le comblement immédiat des correctifs des failles critiques et plus particulièrement ceux qui concernent les vulnérabilités de catégorie Zero Day.

Retour en haut