Patch Tuesday : décembre très critique, record en 2015

BureautiqueCloudDSILogicielsNavigateursOSPolitique de sécuritéPoste de travailProjetsSécuritéServeurs
3 16 2 commentaires

La dernière livraison de correctifs de l’année pour Microsoft est importante avec pas moins de 12 bulletins dont 8 critiques. Au total, 2015 a connu un nombre record de patches de sécurité.

La hotte de Microsoft est chargée de correctifs de sécurité pour le traditionnel Patch Tuesday. Pour ce mois de décembre, il comprend 12 bulletins dont 8 sont classés critiques, le plus haut niveau de dangerosité pour la firme de Redmond. L’ensemble des bulletins corrigent 71 vulnérabilités.

Windows, navigateurs et Office comme priorité

Parmi ces différents pansements sécuritaires, des spécialistes donnent leurs priorités aux responsables IT. C’est le cas de Wolfgang Kandek, CTO de Qualys qui, dans un blog, place le bulletin MS15-135 en tête de ses priorités. Il s’agit de colmater une faille de type Zero Day dans le Kernel de Windows. Cette vulnérabilité est actuellement active, mais Microsoft n’a pas donné plus de précision sur cette faille et son exploitation.

En seconde position, l’accent doit être mis sur les navigateurs web, souvent pris pour cible par les pirates. On ne s’étonnera donc pas de trouver deux bulletins s’y rapportant : MS15-124 pour Internet Explorer et MS15-125 pour Edge. A cela, Wolfgang Kandek ajoute le MS15-126 relatif à des librairies JavaScript dans Vista et Windows Server 2008, corrigeant au passage environ 30 problèmes.

Après les navigateurs, la bureautique se classe dans le top 3 du colmatage de brèches. Le bulletin MS115-131 est classé comme critique et corrige des failles permettant l’exécution de code à distance. Elle panse notamment une vulnérabilité dans Outlook. Espérons que cette fois, le patch fonctionne correctement. A noter qu’une des failles corrigées est exploitée actuellement par des cybercriminels.

Le bulletin MS15-127 est plus original, car il cible Windows DNS et touche Windows Server 2008 et Windows Server 2012. Il est rarement corrigé, la dernière notification datant de 2012. Viennent ensuite plusieurs bulletins visant Silverlight, le système graphique de Windows, Media Center ou Uniscribe.

Record de correctifs en 2015

Avec le Patch Tuesday de décembre, Microsoft clôt une année record en matière de correctifs de sécurité. Le compteur s’est arrêté à 135 notifications, une hausse de 58% par rapport à 2014 (86 bulletins). L’arrivée de nouveaux produits comme Windows 10 et le navigateur Edge explique pour une partie cette croissance sécuritaire.

Pour Wolfgang Kandek, cette poussée s’explique par les travaux menés sur l’ensemble de l’écosystème Windows. Et de souligner par exemple, la correction de plus en plus fréquente des failles Zero Day, comme lors du piratage de Hacking Team. « Ces vulnérabilités sont traditionnellement rares, mais en 2015, elles sont devenues presque un mainstream », conclut le CTO.

A lire aussi :

Le Patch Tuesday de novembre fatal pour Outlook
Un Patch Tuesday en version light pour IE et Office

Crédit Photo : Bryan Solomon-Shutterstock

Lire la biographie de l´auteur  Masquer la biographie de l´auteur