Un Patch Tuesday musclé aux accents vintage

Microsoft vient de livrer son lot de correctifs de sécurité avec pas moins de 14 bulletins. Au menu, l’éditeur corrige une veille faille liée à Stuxnet, ainsi que la vulnérabilité Freak.

Microsoft a publié son Patch Tuesday pour le mois de mars et il est chargé. En effet, on dénombre 14 bulletins de sécurité dont 5 sont classés comme critiques. Au total, 44 vulnérabilités sont corrigées. Pour les spécialistes de la sécurité, le bulletin à installer en premier est celui concernant Internet Explorer. Il corrige 12 failles dont 10 considérées comme critiques et pouvant faciliter l’exécution du code à distance. Elles affectent l’ensemble des versions d’IE ( de 6 à 11). On notera également deux autres bulletins qui résolvent un problème dans VBScript 5.8 pour différentes versions du navigateur.

Le second bulletin à intégrer rapidement selon Wolfgang Kandek, CTO de Qualys, est le MS15-022 qui comble 5 failles dans Office. Une d’elles concerne l’analyseur RTF qui peut être activé automatiquement dans un volet d’aperçu lors de la réception d’un email. Dans le top 3 des bulletins prioritaires, l’expert place le MS15-021 dans sa liste en s’attaquant à 8 vulnérabilités relatives à la police dans Windows.

Un accent Vintage

Dans les différents bulletins de sécurité, il y a le MS15-020 classé comme critique et qui répare une faille liée au malware Stuxnet. Ce dernier avait comme objectif le sabotage d’une centrifugeuse nucléaire en Iran en ciblant les systèmes industriels SCADA. De forts soupçons pèsent sur les Etats-Unis et Israël d’être à l’origine de ce virus. Si Microsoft avait apporté déjà des correctifs sur certaines failles exploitées par Stuxnet, les équipes de chercheurs de HP (Zero Day Initiative) avaient indiqué dès 2010 la persistance d’une vulnérabilité. La firme de Redmond aura donc attendu 5 ans avant de la corriger.

Autre brèche vieille de 10 ans mais qui a été découverte très récemment, Freak. Trouvée par des français, cette faille permet d’abaisser le niveau de chiffrement des navigateurs. Affectant en premier lieu les solutions d’Apple (qui a depuis livré un correctif) et Android de Google, la liste s’est allongée pour intégrer Windows. Microsoft profite donc du Patch Tuesday pour colmater le trou dans un bulletin qui est classé comme important.

Les 8 bulletins restant sont classés eux aussi comme importants et s’adressent majoritairement aux différentes versions du système d’exploitation, Windows.

Lire aussi : AutoDev : GPT-4 en agent autonome de développement logiciel