L’année 2016 démarre donc par la publication de 9 bulletins de sécurité dans le traditionnel Patch Tuesday. Microsoft précise que 6 notifications sont classées comme critiques et 3 sont établies comme importantes. Elles corrigent ensemble 25 vulnérabilités. Mais cette livraison du début de l’année a une teinte un peu particulière, car il s’agit de la dernière mise à jour de sécurité pour Windows 8 et trois versions d’Internet Explorer (8, 9 et 10). La firme de Redmond préfère pousser les utilisateurs à migrer sur Windows 8.1, mais plus encore sur Windows 10 et sur les récentes versions de son navigateur, IE ou Edge.
Mais revenons aux bulletins de sécurité. Pour Wolfgang Kandek, CTO de Qualys, la priorité au sein du Patch Tuesday pour les entreprises est le MS16-005, pour celles qui s’appuient sur Vista, Windows 7 ou Server 2008. Le bulletin corrige une vulnérabilité publiée sous le code CVE-2016-0009 et qui permet une exécution du code à distance. En seconde priorité, la notification MS16-004 colmate 6 failles dans Office dont une (CVE-2016-0010) est classée comme critique en étant présente sur l’ensemble des versions (2007 à 2016) de la suite bureautique sur Mac et PC.
En troisième position des patchs à installer, on retrouve le bulletin MS16-001 pour Internet Explorer et le MS16-002 pour Edge. Ces deux notifications corrigent « seulement » deux failles pour chacun des navigateurs. Microsoft était plutôt habitué à corriger massivement ces navigateurs lors des derniers Patch Tuesday (30 failles en décembre dernier). Pour IE, les correctifs de janvier bloquent un risque de corruption de mémoire dans le moteur VBscript et une élévation de privilège.
Pour Edge, les correctifs visent aussi des corruptions de mémoire dans le moteur JavaScript Chakra et dans Edge lui-même. A noter que le bulletin MS16-003 corrige le même problème de VBscript sur IE pour les environnements Windows (Vista, Windows Server 2008 ou Windows Server 2008 R2)
Le dernier bulletin critique, MS16-006, se penche sur Silverlight et corrige une vulnérabilité. Le responsable de Qualys note que la notification MS16-009 a disparu des mises à jour. La raison n’est pas donnée, mais Microsoft a peut-être pris du retard dans la publication et a préféré tester les correctifs. A la fin de l’année dernière par deux fois, la firme de Redmond a été obligée de retirer des patchs qui bloquaient certains logiciels comme Outlook par exemple.
A lire aussi :
Le Patch Tuesday de novembre fatal pour Outlook
iOS, Mac OS X, WatchOS : le Patch Tuesday made in Apple
OpenAI orchestre un déploiement très progressif de GPT-4o, y compris de ses capacités multimodales.
Elon Musk avait racheté le nom de domaine X.com à PayPal en 2017. Depuis juillet 2023,…
Des centaines d'ingénieurs en IA et cloud travaillant pour Microsoft se voient proposer de quitter…
Reddit s'ajoute à la liste des « partenaires data » d'OpenAI. Qui rejoint-il ?
Younited a utilisé PaLM 2 puis Gemini pour catégoriser des transactions bancaires en vue de…
Les États-Unis vont tripler leur capacité nationale de fabrication de puces et contrôler 30 %…