Patch Tuesday : des correctifs a minima pour débuter 2017

L’année débute doucement pour les correctifs de sécurité de Microsoft. L’éditeur livre seulement 4 bulletins, dont un seul est jugé critique. Un record de sobriété.

Microsoft a eu pitié des administrateurs systèmes après les excès des festivités de fin d’année. Le Patch Tuesday de janvier 2017 ne comprend que 4 bulletins de sécurité, corrigeant 15 vulnérabilités. Il s’agit d’un des plus petits Patch Tuesday depuis le début du programme.

12 vulnérabilités liées à Adobe Flash Player

Au sein de ces bulletins, un est classé comme critique et les 3 autres sont jugés comme importants. Par ordre de priorité, les experts en sécurité poussent les responsables IT à installer le MS17-003. Il corrige des vulnérabilités dans Adobe Flash Player sur toutes les éditions prises en charge de Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows RT 8.1, Windows 10 et Windows Server 2016. Il corrige aussi les extensions Flash dans Internet Explorer 10, Internet Explorer 11 et Edge. A noter que ce bulletin corrige à lui seul 12 failles imputables à Adobe Flash Player.

Le bulletin MS17-002 n’est pas à prendre à la légère, car Microsoft l’a dans un premier temps classé comme critique avant de le rétrograder. Il corrige une vulnérabilité (CVE-2017-0003) d’altération de la mémoire dans Office. Cette faille peut entraîner une exécution de code à distance quand un utilisateur ouvre un document Office malveillant. Elle touche notamment les versions de Word 2016 (64 et 32 bits), ainsi que SharePoint Enterprise Server 2016. Les comptes administrateurs sont les plus sensibles à cette faille, rapporte le bulletin.

Toujours parmi les priorités, Amol Sawarte, CTO de Qualys, place le bulletin MS17-004 relatif au service LSASS (Local Security Authority Subsystem Service) et à sa façon de gérer les demandes d’authentification. Le correctif colmate une brèche capable de saturer le service, provoquant ainsi le redémarrage du système. Elle affecte Windows Vista, Windows Server 2008, Windows 7 et Windows Server 2008 R2. Enfin, la vulnérabilité MS17-001 s’attaque au navigateur Edge en corrigeant une vulnérabilité menant à une élévation de privilèges.

La Security Update Guidance en approche

Cette édition du Patch Tuesday a une autre particularité. Elle est la dernière dans ce format-là. A partir du mois de février, Microsoft va proposer sa Security Update Guidance, un guide sous forme de base de données. Cette évolution a été présentée en novembre dernier. L’éditeur expliquait alors : « au lieu de publier des bulletins décrivant les vulnérabilités associées, le nouveau portail laisse nos utilisateurs chercher et consulter des informations sur les vulnérabilités de sécurité depuis une seule base de données en ligne ».

Le nouveau service permettra ainsi de trier et filtrer les vulnérabilités par CVE (Common Vulnerabilities and Exposures), référence KB (base de connaissance), produit ou encore période et niveau de sévérité. Mais aussi d’exclure les produits qui ne concernent pas la DSI, d’accéder aux informations détaillées sur les mises à jour de sécurité concernées ou encore d’utiliser une nouvelle API RESTfull pour agréger un ensemble d’informations.

Patch Tuesday : Microsoft élimine les bulletins pour une base de données

Lire aussi : AutoDev : GPT-4 en agent autonome de développement logiciel