Pour gérer vos consentements :

Après le rocambolesque épisode du Patch Tuesday de février, un temps retardé puis finalement repoussé d’un mois, les spécialistes de la sécurité attendaient donc la livraison de mars avec impatience. Et cela pour plusieurs raisons. La première est que Microsoft aura attendu 1 mois pour corriger des failles découvertes par Google via l’équipe Project Zero ou celles trouvées dans SMB et exploitées pour des attaques.

Au final, les administrateurs systèmes vont avoir du pain sur la planche avec le Patch Tuesday de mars. Il compte pas moins de 17 bulletins de sécurité dont 8 sont classés comme critiques. L’ensemble vise à corriger 134 vulnérabilités. Par ordre de priorité, les bulletins MS17-013, relatif à GDI et MS17-012, relatif à SMB sont à installer en urgence sur les postes pour colmater les failles Zero Day citées précédemment.

IE et Edge à corriger rapidement et Office

Autres correctifs à installer très rapidement, ceux concernant les navigateurs Edge et IE. Ils corrigent 3 vulnérabilités (CVE-2017-0008, CVE-2017-0037, CVE-2017-0065) critiques avec le risque d’exécution de code à distance. Toujours dans les bulletins à prendre en compte dans de brefs délais, il y a le MS17-014 ciblant la suite bureautique Office.

Sur la partie serveur, les administrateurs se pencheront en priorité sur les bulletins MS17-015 et MS17-016 corrigeant des failles dans Exchange (plus précisément dans Exchange Outlook Web Access) et IIS. De même, le bulletin MS17-008 colmate une brèche dans l’hyperviseur de Microsoft Hyper-V. Enfin, le bulletin MS17-019 s’attaque à des failles trouvées dans Active Directory.

Les Updates Tuesday attendront

Les spécialistes de la sécurité attendaient également ce Patch Tuesday de mars, car il devait sonner le glas des bulletins tels que nous les connaissons aujourd’hui. Le rendez-vous manqué de février était dû « à un problème de dernière minute » mis sur le compte de la difficulté de basculer vers le nouveau système de mise à jour de sécurité.

Pour rappel, Microsoft prévoyait de séparer les bulletins liés aux navigateurs et un système de mises à jour par vagues pour les autres services. Mais au final, Microsoft a gardé son système de bulletins traditionnel pour la livraison du mois de mars. Microsoft indique toutefois que la migration vers le nouveau système de mise à jour de sécurité se fera prochainement.

A lire aussi :

En l’absence de Patch Tuesday, Google se paye IE et Edge

Le Patch Tuesday de février décalé au 14 mars

Photo credit: mathplourde via VisualHunt /  CC BY

Recent Posts

DMA, DSA : une régulation à la hauteur des « Big Tech » ?

Le Parlement européen a définitivement adopté le DMA et le DSA ce 5 juillet. Des…

4 heures ago

DevSecOps : Snyk plie mais ne rompt pas

Snyk rejoint la liste de licornes de la cybersécurité qui réduisent leurs effectifs pour affronter…

20 heures ago

Scribe : les enseignements à tirer de l’échec de ce projet d’État

Un seul logiciel pour la rédaction des procédures entre police et gendarmerie. C'était l'objectif du…

21 heures ago

HackerOne : quand un initié détourne le bug bounty

Un employé de HackerOne aurait exploité à des fins personnelles des rapports de sécurité soumis…

1 jour ago

Jean-Noël Barrot, nouveau ministre délégué chargé du numérique

Jean-Noël Barrot est nommé ministre délégué chargé de la Transition numérique et des Télécommunications du…

2 jours ago

Cloud : Microsoft peine à se convertir à sa « nouvelle expérience commerciale »

Microsoft concède de nouveaux reports dans la mise en place de la « nouvelle expérience…

2 jours ago