Après l’arrêt de la notification avancée des bulletins de sécurité du Patch Tuesday, il faut donc attendre maintenant le jour J pour avoir les détails des éléments corrigés et le niveau des correctifs. Pour le mois de février, Microsoft est revenu sur un niveau relativement élevé avec 9 bulletins de sécurité dont 3 sont classés comme critiques et le reste comme important. Au total, 56 vulnérabilités sont colmatées.
Comme nous vous l’indiquions ce matin, un des bulletins concerne toutes les versions d’Internet Explorer. Pour rappel, le navigateur n’avait pas été corrigé au mois de janvier. Là, Microsoft se rattrape avec la résolution de 41 vulnérabilités. Pour les spécialistes de la sécurité, il s’agit du correctif à mettre prioritairement en place aux seins des entreprises.
Parmi les autres bulletins critiques, un concerne trois vulnérabilités dans Office. Elles pourraient permettre l’exécution de code à distance si un utilisateur ouvrait un fichier Microsoft Office contenant du code malveillant. Wofgang Kandek, CTO de Qualys, souligne dans son blog que « ce type d’attaque est fréquente, il est donc nécessaire de s’en prémunir rapidement ». L’autre bulletin critique vise l’ensemble des versions de Windows et circonscrit 6 vulnérabilités, dont une avait été dévoilée par Google dans son projet Zero Day. Au grand dam de Microsoft.
Parmi les bulletins classés comme importants, on notera la particularité du MS15-011. Il corrige une faille qui permet l’exécution de code à distance. Elle s’attaque aux contrôleurs de domaines et peut avoir un impact non négligeable pour les entreprises. Oui mais voilà, toutes les versions n’auront pas le droit à ce patch. La firme de Redmond écarte de sa liste Windows Server 2003 au motif que le correctif serait trop envahissant qu’il risquerait de bloquer le fonctionnement de l’OS. Il s’agit surtout du premier signal tangible pour les entreprises que la fin du support de Windows 2003 Server est pour bientôt (juillet 2015) et qu’elles doivent enclencher rapidement la migration de leurs parcs. Mais les entreprises ont pris du retard dans leur migration.
A lire aussi :
Sécurité des accès : et pourquoi pas une puce RFID sous la peau ?
Sécurité : Google subventionne la recherche de vulnérabilités
D'AgentJ à YesWiki, voici les dernières entrées au SILL (Socle interministériel de logiciels libres).
En parallèle de diverses expérimentations, Microsoft livre une première version de WSL2 basée sur Linux…
Le dernier rapport environnemental de Google comporte peu d'indicateurs spécifiques à l'IA. Quelles perspectives l'entreprise…
Booster les performances des forces de vente en fondant les processus commerciaux sur ce que…
Respectivement DG et CTO de Red Hat France, Rémy Mandon et David Szegedi évoquent le…
Canonical formalise un service de conception de conteneurs minimalistes et y associe des engagements de…