Patch Tuesday : quelques giboulées critiques pour IE, Edge et Windows

Jacques Cheminat,

Le Patch Tuesday de mars comprend 13 bulletins, dont 5 sont classés comme critiques. Les correctifs à installer en priorité sont liés aux navigateurs et à Office.

Microsoft reste sur un volume élevé de correctifs de sécurité pour sa traditionnelle livraison du Patch Tuesday. Comme en février, l’éditeur délivre 13 bulletins de sécurité mais seulement 5 sont classés comme critiques. Parmi, ceux-ci, Wolfgang Kandek, CTO de Qualys, donne des ordres de priorités afin d’aider les entreprises à installer ces mises à jour.

Pour lui, les navigateurs sont les plus touchés au sein des entreprises par les questions de sécurité. On ne s’étonnera donc pas de retrouver en tête de la to-do-list des administrateurs, le bulletin MS16-023 qui concerne IE. Il corrige 13 vulnérabilités qui peuvent être exploitées pour exécuter du code à distance. Dans la même veine, Microsoft publie le bulletin MS16-024 qui corrige 11 failles dans Edge, le navigateur de Windows 10. Les chercheurs en sécurité constatent que Edge arrive à maturité avec un niveau de failles corrigées à égalité avec IE (13-11 contre 30-15 en décembre dernier).

Office en ligne de mire

Le prochain bulletin sur la liste est le MS16-029. Il est classé comme important, mais il vise la suite bureautique Office, des logiciels largement utilisés en entreprise et qui sont un vecteur d’attaques privilégié par les cybercriminels, notamment pour la diffusion de ransomware (comme c’est le cas avec Locky). Ce bulletin corrige la façon dont Office gère les objets en mémoire, ainsi que la manière dont il fournit un fichier binaire valablement signé.

Les autres correctifs classés comme critiques portent sur des vulnérabilités concernant les polices OpenType, Windows Media Player et Windows PDF Library (seules les versions à partir de Windows 8.1 sont concernées).

Dans les autres bulletins classés comme importants, une majorité comporte un risque d’élévation de privilèges. Ils touchent Windows, les drivers du Kernel Windows, les drivers USB et la Secondary Logon (connexion secondaire). Le dernier bulletin du Patch Tuesday s’attaque à .Net avec des possibilités de contourner les fonctions de sécurité.

A lire aussi :

Et Flash Player d’Adobe s’invita dans le Patch Tuesday
Patch Tuesday : oraisons critiques pour Windows 8 et IE 8, 9, 10

 crédit photo@mathiasmeisenthal-shutterstock