Un Patch Tuesday légèrement critique et sans correctifs pour IE

La semaine dernière, Microsoft avait mis en émoi le petit monde des experts en sécurité en annonçant la fin de la publication de la pré-annonce des bulletins de sécurité pour son Patch Tuesday. Il réservait désormais ses annonces pour les clients payants disposant d’un compte Premier ou affiliés à un programme spécifique.

On attendait donc la livraison du Patch Tuesday hier pour en savoir un peu plus sur les différents bulletins de sécurité. Il comprend 8 notifications dont une classée comme critique. Les autres sont jugées importantes. Le bulletin critique corrige la faille, CVE-2015-0014, qui porte sur la saturation de la mémoire tampon de Telnet dans Windows. Telnet est utilisé pour le dialogue entre des PC distants et on le trouve notamment dans les éditions serveurs de Windows. L’utilisation de cette vulnérabilité pourrait entraîner une exécution du code à distance.

La faille trouvée par Google corrigée

Parmi les autres bulletins, on trouve le MS15-004 qui colmate une faille dans le composant Windows TS WebProxy. Ce sont les chercheurs de Google qui ont trouvé cette vulnérabilité dans le cadre du Project Zero. Mais la publication de cette faille avant la mise à disposition du correctif est mal passée chez Microsoft qui a tancé vertement Google pour cela. La firme de Redmond n’a cependant pas classé ce bulletin comme critique en soulignant que la faille devait être couplée avec une autre pour pouvoir exécuter du code à distance. Pour les autres bulletins, on recense trois vulnérabilités dans Windows comportant un risque d’élévation de privilège, deux autres impliquant un contournement des fonctions de sécurité de Windows et enfin un bulletin lié à risque de déni de service.

Autre point à relever dans cette livraison, il n’y a pas de correctif pour Internet Explorer. Habituellement, tous les mois, Microsoft émet un bulletin pour améliorer la sécurité du navigateur, principale porte d’entrée des pirates.