Microsoft Patch Tuesday : 12 vulnérabilités liées à Adobe Flash Player
Microsoft et Adobe, ces deux-là, ils s’aiment vraiment quand il s’agit de colmater des brèches de sécurité IT. Illustration avec le (dernier?) Patch Tuesday de janvier.
Vit-on les derniers moments du traditionnel Patch Tuesday ? A partir de février, Microsoft devrait changer de format pour la réactualisation mensuelle de ses logiciels en termes de sécurité IT.
Dans le (dernier ?) Patch Tuesday de janvier 2017, Microsoft a intégré quatre bulletins de sécurité IT, dont un seul est jugé critique. Le bouquet corrige 15 vulnérabilités. La récolte est maigre mais on ne va pas s’en plaindre.
Le bulletin MS17-003 est prioritaire pour les administrateurs systèmes. Il corrige des vulnérabilités dans Adobe Flash Player sur toutes les éditions prises en charge de Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows RT 8.1, Windows 10 et Windows Server 2016. Les extensions Flash dans Internet Explorer 10, Internet Explorer 11 et Edge sont également prises en comptes.
Signe particulier relevé par Silicon.fr : ce bulletin corrige à lui seul 12 failles imputables à Adobe Flash Player.
On vous rassure : Adobe fait aussi du ménage de son côté pour son lecteur média.
Le bulletin MS17-002 de Microsoft rectifie une vulnérabilité (CVE-2017-0003) d’altération de la mémoire dans la suite bureautique Office. « Cette faille peut entraîner une exécution de code à distance quand un utilisateur ouvre un document Office malveillant », selon Silicon.fr.
Elle touche notamment les versions de Word 2016 (64 et 32 bits), ainsi que SharePoint Enterprise Server 2016.
Autre point sensible relevé par Amol Sawarte, CTO de Qualys (fournisseur de solutions de gestion des vulnérabilités IT), le bulletin MS17-004 relatif au service LSASS (Local Security Authority Subsystem Service) pour les demandes d’authentification.
Le correctif colmate une brèche capable de saturer le service, provoquant ainsi le redémarrage du système. Elle affecte une série de systèmes : Windows Vista, Windows Server 2008, Windows 7 et Windows Server 2008 R2.
Enfin, le bulletin MS17-001 s’attaque au navigateur Internet Edge accolé à Windows 10 en corrigeant une vulnérabilité susceptible d’aboutir à une élévation de privilèges de droit.
En février, bye bye le Patch Tuesday ? Microsoft devrait introduire la nouvelle base de données de référence sous forme de Security Update Guidance.
Le nouveau service permettra de trier et filtrer les vulnérabilités par CVE (Common Vulnerabilities and Exposures), référence KB (base de connaissance), produits ou encore les périodes et niveaux de gravité.