Patch Tuesday : oraisons critiques pour Windows 8 et IE 8, 9, 10

Jacques Cheminat,

Pour la première livraison de l’année 2016, le Patch Tuesday recommande 9 bulletins de sécurité dont 6 sont critiques. Il concerne Windows et Office et signe aussi les derniers correctifs pour Windows 8 et IE 8, 9 et 10.

L’année 2016 démarre donc par la publication de 9 bulletins de sécurité dans le traditionnel Patch Tuesday. Microsoft précise que 6 notifications sont classées comme critiques et 3 sont établies comme importantes. Elles corrigent ensemble 25 vulnérabilités. Mais cette livraison du début de l’année a une teinte un peu particulière, car il s’agit de la dernière mise à jour de sécurité pour Windows 8 et trois versions d’Internet Explorer (8, 9 et 10). La firme de Redmond préfère pousser les utilisateurs à migrer sur Windows 8.1, mais plus encore sur Windows 10 et sur les récentes versions de son navigateur, IE ou Edge.

Priorité à Windows et Office

Mais revenons aux bulletins de sécurité. Pour Wolfgang Kandek, CTO de Qualys, la priorité au sein du Patch Tuesday pour les entreprises est le MS16-005, pour celles qui s’appuient sur Vista, Windows 7 ou Server 2008. Le bulletin corrige une vulnérabilité publiée sous le code CVE-2016-0009 et qui permet une exécution du code à distance. En seconde priorité, la notification MS16-004 colmate 6 failles dans Office dont une (CVE-2016-0010) est classée comme critique en étant présente sur l’ensemble des versions (2007 à 2016) de la suite bureautique sur Mac et PC.

Une correction a minima pour IE et Edge

En troisième position des patchs à installer, on retrouve le bulletin MS16-001 pour Internet Explorer et le MS16-002 pour Edge. Ces deux notifications corrigent « seulement » deux failles pour chacun des navigateurs. Microsoft était plutôt habitué à corriger massivement ces navigateurs lors des derniers Patch Tuesday (30 failles en décembre dernier). Pour IE, les correctifs de janvier bloquent un risque de corruption de mémoire dans le moteur VBscript et une élévation de privilège.

Pour Edge, les correctifs visent aussi des corruptions de mémoire dans le moteur JavaScript Chakra et dans Edge lui-même. A noter que le bulletin MS16-003 corrige le même problème de VBscript sur IE pour les environnements Windows (Vista, Windows Server 2008 ou Windows Server 2008 R2)

Le dernier bulletin critique, MS16-006, se penche sur Silverlight et corrige une vulnérabilité. Le responsable de Qualys note que la notification MS16-009 a disparu des mises à jour. La raison n’est pas donnée, mais Microsoft a peut-être pris du retard dans la publication et a préféré tester les correctifs. A la fin de l’année dernière par deux fois, la firme de Redmond a été obligée de retirer des patchs qui bloquaient certains logiciels comme Outlook par exemple.

A lire aussi :

Le Patch Tuesday de novembre fatal pour Outlook

iOS, Mac OS X, WatchOS : le Patch Tuesday made in Apple

Crédit Photo : Creativa Images-Shutterstock