Le Patch Tuesday de février décalé au 14 mars

C’est une première dans l’histoire du Patch Tuesday. Microsoft a décidé purement et simplement de ne pas délivrer de correctifs de sécurité pour le mois de février. Hier, nous faisions part de la firme de Redmond de retarder son traditionnel lot de correctifs pour « un problème de dernière minute », sans donner plus de précision.

Aujourd’hui, Microsoft a publié un autre communiqué sur son blog pour indiquer que le Patch Tuesday de février serait intégré dans celui du mois prochain dont la livraison est attendue pour le 14 mars.

Deux hypothèses d’explications

Après l’annonce de Microsoft de retarder le Patch Tuesday sine die, les spéculations sur les raisons de l’ajournement sont allées bon train. La première raison qui vient à l’esprit est la découverte récente d’une faille Zero Day du protocole SMB par le chercheur Laurent Gaffié. Le CERT américain avait lancé une alerte le 2 février dernier en indiquant que « Microsoft Windows contient un bogue de corruption de mémoire dans le traitement du trafic SMB, ce qui peut permettre à un attaquant distant et non authentifié de provoquer un déni de service ou d’exécuter potentiellement du code arbitraire sur un système vulnérable ». La seule parade actuelle est le blocage de ports.

L’autre hypothèse pour expliquer le retard réside dans le changement attendu du Patch Tuesday en Updates Tuesday. Microsoft souhaite basculer d’un modèle de correctifs individuels vers un modèle de vagues de mise à jour. Il met surtout en place une mise à jour de sécurité séparée pour Internet Explorer et Office.

A lire aussi :

Patch Tuesday : des correctifs a minima pour débuter 2017

Patch Tuesday : Microsoft élimine les bulletins pour une base de données