Microsoft livre son premier Patch Tuesday de l’année avec huit bulletins de sécurité : un classé dans la catégorie « critique » et sept autres évalués à « important ».
Une synthèse est proposée dans le TechCenter de Microsoft.
La configuration du dispositif mensuel pour colmater les brèches de la famille de Windows (à commencer par son OS) et autres logiciels (comme le navigateur Internet Explorer) est modifiée.
Fini la publication de la pré-annonce des bulletins de sécurité (traditionnellement diffusée le vendredi avant le fameux Patch Tuesday). L’éditeur réserve désormais ce canal d’alerte à ses clients payants (disposant d’un compte Premier ou affiliés à un programme spécifique).
Selon Silicon.fr, le bulletin MS15-002 corrige la faille critique CVE-2015-0014, qui porte sur la saturation de la mémoire tampon de Telnet (utilisé pour le dialogue entre des PC distants) dans Windows. L’exploitation de cette vulnérabilité pouvait aboutir à une exécution du code à distance.
Quatre autres failles repérées risquaient d’entraîner des élévations indésirables de privilèges pour des administrateurs systèmes.
La vulnérabilité dans des composants Windows (Windows TS WebProxy), colmatée dans le bulletin MS15-004, a provoqué un esclandre : des chercheurs de Google l’ont trouvé en premier dans le cadre du Project Zero et l’ont publié avant la mise à disposition du correctif. Mais il y a eu un décalage entre la remontée d’information de Google vers Microsoft et la diffusion du Patch Tuesday.
« Avec tout ce qui se passe, il est temps pour les chercheurs en sécurité et les éditeurs de logiciels de se réunir et non pas de rester divisés sur les stratégies de protection, comme la divulgation des vulnérabilités et leur résolution », commente Chris Betz de l’équipe Microsoft Security Response Center qui appelle à une meilleur synchronisation.
D’autres failles ont été corrigées dans le service Connaissance des emplacements réseau et le Rapport d’erreurs Windows. Elles étaient susceptibles de servir de levier pour contourner la fonctionnalité de sécurité.
Microsoft répare aussi une vulnérabilité dans la mise en œuvre de l’authentification RADIUS du serveur de stratégie réseau, qui pouvait provoquer un déni de service.
(Crédit photo : Shutterstock.com – Droit d’auteur : watcharakun)
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…