Pour gérer vos consentements :

Microsoft a eu pitié des administrateurs systèmes après les excès des festivités de fin d’année. Le Patch Tuesday de janvier 2017 ne comprend que 4 bulletins de sécurité, corrigeant 15 vulnérabilités. Il s’agit d’un des plus petits Patch Tuesday depuis le début du programme.

12 vulnérabilités liées à Adobe Flash Player

Au sein de ces bulletins, un est classé comme critique et les 3 autres sont jugés comme importants. Par ordre de priorité, les experts en sécurité poussent les responsables IT à installer le MS17-003. Il corrige des vulnérabilités dans Adobe Flash Player sur toutes les éditions prises en charge de Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows RT 8.1, Windows 10 et Windows Server 2016. Il corrige aussi les extensions Flash dans Internet Explorer 10, Internet Explorer 11 et Edge. A noter que ce bulletin corrige à lui seul 12 failles imputables à Adobe Flash Player.

Le bulletin MS17-002 n’est pas à prendre à la légère, car Microsoft l’a dans un premier temps classé comme critique avant de le rétrograder. Il corrige une vulnérabilité (CVE-2017-0003) d’altération de la mémoire dans Office. Cette faille peut entraîner une exécution de code à distance quand un utilisateur ouvre un document Office malveillant. Elle touche notamment les versions de Word 2016 (64 et 32 bits), ainsi que SharePoint Enterprise Server 2016. Les comptes administrateurs sont les plus sensibles à cette faille, rapporte le bulletin.

Toujours parmi les priorités, Amol Sawarte, CTO de Qualys, place le bulletin MS17-004 relatif au service LSASS (Local Security Authority Subsystem Service) et à sa façon de gérer les demandes d’authentification. Le correctif colmate une brèche capable de saturer le service, provoquant ainsi le redémarrage du système. Elle affecte Windows Vista, Windows Server 2008, Windows 7 et Windows Server 2008 R2.  Enfin, la vulnérabilité MS17-001 s’attaque au navigateur Edge en corrigeant une vulnérabilité menant à une élévation de privilèges.

La Security Update Guidance en approche

Cette édition du Patch Tuesday a une autre particularité. Elle est la dernière dans ce format-là. A partir du mois de février, Microsoft va proposer sa Security Update Guidance, un guide sous forme de base de données. Cette évolution a été présentée en novembre dernier. L’éditeur expliquait alors : « au lieu de publier des bulletins décrivant les vulnérabilités associées, le nouveau portail laisse nos utilisateurs chercher et consulter des informations sur les vulnérabilités de sécurité depuis une seule base de données en ligne ».

Le nouveau service permettra ainsi de trier et filtrer les vulnérabilités par CVE (Common Vulnerabilities and Exposures), référence KB (base de connaissance), produit ou encore période et niveau de sévérité. Mais aussi d’exclure les produits qui ne concernent pas la DSI, d’accéder aux informations détaillées sur les mises à jour de sécurité concernées ou encore d’utiliser une nouvelle API RESTfull pour agréger un ensemble d’informations.

A lire aussi :

Plus de vulnérabilités chez Apple et Adobe que chez Microsoft en 2017

Patch Tuesday : Microsoft élimine les bulletins pour une base de données

Recent Posts

DevOps : CircleCI, valorisé 1,7 Md$, acquiert Vamp.io

Le spécialiste californien de l'intégration continue CircleCI s'offre Vamp, éditeur européen d'une plateforme d'orchestration de…

11 heures ago

Sécurité et gestion des risques : cap sur une croissance à deux chiffres

Les investissements mondiaux dans les outils et services de sécurité et de gestion des risques…

13 heures ago

Émilie Sidiqian passe d’Accenture à la DG de Salesforce France

Transfuge d'Accenture, Émilie Sidiqian a pris la suite d'Olivier Derrien à la direction générale de…

15 heures ago

AWS renchérit dans la bataille du lift & shift

AWS intègre à sa console de gestion un service de réhébergement avec réplication bloc continue…

17 heures ago

La DINUM publie (enfin) son « catalogue GouvTech »

Avec du retard sur la feuille de route initiale du programme TECH.GOUV, la DSI de…

20 heures ago

Travail hybride : hausse de l’investissement en Europe

En Europe, 6 décideurs informatiques sur 10 déclarent disposer en 2021 d'un budget plus élevé…

1 jour ago