Patch Tuesday

Microsoft publie une très longue liste de correctifs

(Source : l’Informaticien)

Après le report des mises à jour de sécurité de février, Microsoft publie un énorme Patch Tuesday. Les 18 bulletins diffusés viennent corriger pas moins de 140 vulnérabilités dont plusieurs sont critiques.
Après un mystérieux report en février, Microsoft a renoué avec son traditionnel Patch Tuesday pour le mois de mars. Et comme on pouvait s’y attendre, il est conséquent : 17 bulletins pour 139 failles de sécurité.
Sur ces 17 bulletins, 8 ont un indice de gravité jugé « critique », c’est-à-dire que les vulnérabilités permettraient l’exécution de code à distance.

Les failles critiques concernent Internet Explorer, Edge, Windows Hyper-V, la bibliothèque PDF, le seveur SMB, Microsoft Uniscribe, les systèmes d’exploitation et Graphics. A cela s’ajout un bulletin pour Adobe Flash Player corrigeant une faille elle aussi critique.
Pour le chercheur en sécurité informatique de chez Qualys, Amol Sarwate, la priorité absolue revient au bulletin MS17-013 qui corrige les failles du composant Microsoft Graphics qui concernent toutes les versions de Windows à partir de Vista, Office 2007 et 2010, Skype Entreprise 2016, Lync 2013 et 2010 ainsi que Silverlight.

Une faille largement exploitée

« La plus grave de ces vulnérabilités pourrait permettre l’exécution de code à distance si un utilisateur visitait un site web spécialement conçu ou ouvrait un document spécialement conçu », notamment si l’utilisateur a des privilèges administrateur précise Microsoft.
Dans ce bulletin, on trouve la faille CVE-2017-0005 relative à Microsoft Graphics. Or, Microsoft précise qu’une exploitation de cette vulnérabilité a été détectée. La faille zero day « pourrait être incorporée bientôt dans un kit d’exploits utilisant Silverlight comme moyen d’attaque comme c’est déjà arrivé par le passé », souligne Amol Sarwate.
Tous les autres bulletins corrigent des failles signalées comme « importantes ». Enfin, pour Windows 10, une longue liste de correctifs ne touchant pas à la sécurité a été publiée. Les corrections ont surtout rapport avec la fiabilité des différents composants concernés.