Patch Tuesday de janvier livré : Microsoft change le mode d’alerte et tance Google

CloudPoste de travailSystèmes d'exploitation
microsoft-patch-tuesday-janvier-2015

Le premier Patch Tuesday 2015, qui comporte huit bulletins de sécurité IT, est diffusé sur fond d’esclandre entre chercheurs de Microsoft et Google.

Microsoft livre son premier Patch Tuesday de l’année avec huit bulletins de sécurité : un classé dans la catégorie “critique” et sept autres évalués à “important”.

Une synthèse est proposée dans le TechCenter de Microsoft.

La configuration du dispositif mensuel pour colmater les brèches de la famille de Windows (à commencer par son OS) et autres logiciels (comme le navigateur Internet Explorer) est modifiée.

Fini la publication de la pré-annonce des bulletins de sécurité (traditionnellement diffusée le vendredi avant le fameux Patch Tuesday). L’éditeur réserve désormais ce canal d’alerte à ses clients payants (disposant d’un compte Premier ou affiliés à un programme spécifique).

Selon Silicon.fr, le bulletin MS15-002 corrige la faille critique CVE-2015-0014, qui porte sur la saturation de la mémoire tampon de Telnet (utilisé pour le dialogue entre des PC distants) dans Windows. L’exploitation de cette vulnérabilité pouvait aboutir à une exécution du code à distance.

Quatre autres failles repérées risquaient d’entraîner des élévations indésirables de privilèges pour des administrateurs systèmes.

La vulnérabilité dans des composants Windows (Windows TS WebProxy), colmatée dans le bulletin MS15-004, a provoqué un esclandre : des chercheurs de Google l’ont trouvé en premier dans le cadre du Project Zero et l’ont publié avant la mise à disposition du correctif. Mais il y a eu un décalage entre la remontée d’information de Google vers Microsoft et la diffusion du Patch Tuesday.

“Avec tout ce qui se passe, il est temps pour les chercheurs en sécurité et les éditeurs de logiciels de se réunir et non pas de rester divisés sur les stratégies de protection, comme la divulgation des vulnérabilités et leur résolution”, commente Chris Betz de l’équipe Microsoft Security Response Center qui appelle à une meilleur synchronisation.

D’autres failles ont été corrigées dans le service Connaissance des emplacements réseau et le Rapport d’erreurs Windows. Elles étaient susceptibles de servir de levier pour contourner la fonctionnalité de sécurité.

Microsoft répare aussi une vulnérabilité dans la mise en œuvre de l’authentification RADIUS du serveur de stratégie réseau, qui pouvait provoquer un déni de service.

(Crédit photo : Shutterstock.com – Droit d’auteur : watcharakun)


Lire la biographie de l´auteur  Masquer la biographie de l´auteur