Microsoft achève la faille de Word et chamboule le suivi de la sécurité IT

CloudRisquesSécuritéVirus
microsoft-word-patch-securite-updates-guide

Microsoft a colmaté la brèche préoccupante sur Word, que McAfee avait repérée. A côté, l’éditeur bouleverse son process de publication des patches de sécurité IT.

Microsoft vient de patcher une vulnérabilité « zero day » inquiétante qui avait été détectée dans son module de traitement de texte Word inclus dans le package bureautique Office.

Cette séquence de rattrapage de la part de l’éditeur de Windows intervient cinq jours après la première alerte émise par l’éditeur de solution de sécurité IT McAfee.

On retrouve ce patch sous cette dénomination : CVE-2017-0199 affectant Office et WordPad.
L’update spécial Word a été intégré dans un nouveau process de réactualisation pour colmater les brèches identifiées dans les solutions et produits Microsoft : security updates Guide.

Selon la cellule d’alerte (CERT-FR) qui collabore avec l’ANSSI (agence nationale de la sécurité informatique), l’exploit « zero day » se déclenchait lors de l’ouverture d’un document Microsoft Word contenant un objet OLE2link. Un assaut susceptible de provoquer une exécution de code arbitraire.

Bye bye la livraison mensuelle de Patch Tuesday (tradition perpétuée depuis 1998). C’était prévu depuis plusieurs mois : Microsoft remanie le système de diffusion sous forme de « security updates Guide ».

Des réactualisations que l’on peut sélectionner par période, par produits, par degrés de criticité…Un catalogue de réactualisation sous forme de moteur est également mis en place.

Le premier jet englobe 45 correctifs, dont 13 « critiques », dans une gamme de produits « maison » : Internet Explorer, Microsoft Edge, Windows, Office, Office Services et Web Apps, Visual Studio for Mac,.NET Framework et Silverlight.

Après avoir noué un partenariat, Microsoft accorde aussi une place à Adobe dans ce nouveau système security updates Guide.

Et la contribution de cet éditeur tiers est riche : rien que sur le mois d’avril, on recense 15 failles corrigées dans des produits comme Flash, Reader et Photoshop en lien avec l’exploitation de solutions Microsoft.

« Au final, les administrateurs vont être obligés de s’habituer à la nouvelle nomenclature des mises à jour de sécurité », considère Silicon.fr. ‘Pour les autres utilisateurs, il n’y a aucun changement, car les updates de sécurité se déploient automatiquement au sein de Windows. »

Lire aussi :

Lire la biographie de l´auteur  Masquer la biographie de l´auteur