En 2013, Microsoft a publié 106 bulletins de sécurité

Le dernier patch tuesday de l’année 2013 comble 11 failles de sécurité des produits Microsoft. Mais des vulnérabilités Zero Day rodent toujours.

Microsoft a publié hier, mardi 10 décembre en fin de journée heure française, son dernier patch tuesday 2013. Il est constitué de 11 correctifs de sécurité. L’occasion de faire un bilan sur l’année qui se termine.

Au cours des douze derniers mois, Microsoft a publié 106 bulletins de sécurité, souligne Wolfgang Kandek, CTO de Qualys. En nette progression par rapport aux 83 livraisons de 2012 mais constant en regard des 100 et 106 patches de 2011 et 2010 respectivement.

De nombreuses failles Zero Day…

Un grand nombre de vulnérabilités Zero Day (publiquement exploitables) ont animé l’année. Particulièrement celles touchant le navigateur Internet Explorer que Microsoft a corrigé en janvier, mars et octobre. Une autre sur ActiveX a été comblée en octobre.

« Cependant, deux vulnérabilités Zero Day restent actuellement ouvertes, souligne Wolfgang Kandek. La première se trouve dans Windows et Microsoft Office, dans la bibliothèque pour le format graphique TIFF mentionnée début novembre […]. La deuxième est une vulnérabilité Zero-Day locale au sein du noyau Windows que Microsoft a indiqué […] le 27 Novembre. »

… qui courent toujours

Si l’éditeur de Windows a prévu de corriger la première faille dans le prochain bulletin, le premier de 2014, le correctif de la seconde n’est pas encore finalisé. La meilleure défense reste donc de « neutraliser le vecteur d’attaque actuellement connu, à savoir une vulnérabilité corrigée dans Adobe Reader ». Mise à jour indispensable du lecteur, donc.

Quant aux correctifs de décembre, ils concernent avant tout les produits Offices et Lync, IE, Exchange, Sharepoint et Windows, ainsi que des outils de développement, touchés par 5 failles critiques et 6 importantes. Elles permettent notamment l’exécution de code à distance et l’élévation de privilèges d’administration. Comme tous les mois, les mises à jour sont donc vivement conseillées.

crédit photo © Aleksandr Bedrin – Fotolia.com


Lire également
Sécurité : le gouvernement US infiltré via une faille dans Adobe ColdFusion
L’Internet des Objets ? Plutôt l’Internet des vulnérabilités pour Symantec
8 smartphones sur 10 sont vulnérables