Les attaques qui ont un impact sur les systèmes des clients résultent rarement de l’exploitation par des attaquants de vulnérabilités précédemment inconnues. Au lieu de cela, les attaquants exploitent des vulnérabilités pour lesquelles des correctifs sont disponibles, mais ne sont pas appliqués. Pour cette raison, Microsoft recommande que les clients fassent des mises à jour correctives une priorité. Les mises à jour actuellement disponibles sont répertoriées dans le Guide des mises à jour de sécurité.

Toutefois, toutes les vulnérabilités n’ont pas le même niveau de gravité. Pour aider les clients à comprendre les risques associés à chaque vulnérabilité pour laquelle nous proposons un correctif, nous avons publié un système d’évaluation de la gravité qui note chaque vulnérabilité en fonction du résultat théorique le plus grave en cas d’exploitation de cette vulnérabilité.

Évaluation

Description

Critique

Vulnérabilité dont l’exploitation peut permettre l’exécution de code sans interaction de l’utilisateur. Ces scénarios incluent les programmes malveillants auto-propagés (par exemple, les vers réseau) ou les scénarios d’utilisation courants inévitables où l’exécution du code se produit sans avertissements ni invites. Il peut s’agir de la navigation vers une page web ou de l’ouverture d’un e-mail.

Microsoft recommande que les clients appliquent immédiatement les mises à jour critiques.

Important

Vulnérabilité dont l’exploitation peut compromettre la confidentialité, l’intégrité ou la disponibilité des données utilisateur, ou l’intégrité ou la disponibilité des ressources de traitement. Cela inclut des scénarios d’utilisation courants où le client est compromis avec des avertissements ou des invites, quelle que soit la provenance, la qualité ou la convivialité de l’invite. Les séquences d’actions utilisateur qui ne génèrent pas d’invites ou d’avertissements sont également couvertes.

Microsoft recommande que les clients appliquent des mises à jour importantes à la première occasion.

Modérées

L’impact de la vulnérabilité est atténué par des facteurs tels que les exigences d’authentification ou l’applicabilité uniquement aux configurations autres que celles par défaut.

Microsoft recommande que les clients fassent le choix d’appliquer la mise à jour de sécurité.

Faibles

L’impact de cette vulnérabilité est complètement atténué par les caractéristiques du composant affecté. Microsoft recommande que les clients évaluent s’il faut appliquer la mise à jour de sécurité aux systèmes affectés.

La mesure de la gravité d’une vulnérabilité est différente de la probabilité qu’une vulnérabilité soit exploitée. Pour évaluer cette probabilité, l’index d’exploitabilité Microsoft fournit des informations supplémentaires pour aider les clients à mieux hiérarchiser le déploiement des mises à jour de sécurité Microsoft. Cet index fournit aux clients des conseils sur la probabilité qu’un code d’exploitation soit développé pour les vulnérabilités corrigées par les mises à jour de sécurité Microsoft, au cours des trente premiers jours suite à la publication de cette mise à jour.

Bien que ce système d’évaluation de la gravité soit destiné à fournir une évaluation générale de chaque problème, nous encourageons vivement les clients à évaluer leurs propres environnements et à prendre des décisions concernant les mises à jour requises pour protéger leurs systèmes.