Par Wolfgang Kandek,CTO de Qualys
Pour le premier Patch Tuesday 2015, Microsoft a donc publié8 bulletins, dont 1 critique et 7importants, un démarrage classiqueen termes de volume, mais limité en matière de logiciels. En effet, il n’y a par exemple aucune mise à jour d’Internet Explorer.
L’un des bulletins parmi les plus importants, MS15-001, résout la vulnérabilité Zero-Day actuellement présente dans Windows 8.1. Désormais résolue, cette vulnérabilité avait été publiée par l’équipe Project Zero de Google le 29 décembre dernierdans le cadre de la politique de divulgation automatique de Google.
En effet, Google donne 90 jours à une entreprise pour résoudre la vulnérabilité à l’aide d’un patch. Si aucun patch n’est alors disponible l’information est automatiquement rendue publique.
Ce message provient directement de la base de données des bugs :
https://code.google.com/p/google-security-research/issues/detail?id=118.
Microsoft est mécontent de cette divulgation car l’éditeur avait demandé un report à Google jusqu’à ce Patch Tuesday d’après un postsur leur blog. Nous verrons bien quelle est l’issue et il semble qu’il y ait quelques problèmes de communication à résoudre.
L’un des autres bulletins résout également une vulnérabilité publiquement connue, MS15-003, qui est un problème dans le service de profil utilisateur Windows qui autorise une élévation locale de privilèges.
En termes de priorité, nous vous recommandons de commencer par MS15-002, une vulnérabilité critique dans le service Telnet de Microsoft. Si vous exécutez le serveur Microsoft Telnet, il s’agit de la vulnérabilité prioritaire pour vous ce mois-ci, plus particulièrement si vous êtes exposés sur Internet. Chez Qualys, nous ne connaissons pas beaucoup d’utilisateurs de Telnet si bien que cette vulnérabilité devrait être assez rare. Des statistiques seront communiquées au cours des prochains mois concernant l’importance de ce bulletin.
Notre autre recommandation est de se préoccuper de la mise à jour Adobe Flash APSB15-01qui résout neuf vulnérabilités critiques qui permettent de prendre le contrôle de la machine ciblée. Les utilisateurs d’Internet Explorer 10 et 11 bénéficient d’une mise à jour automatique (consulter l’avis de sécurité 2755801 sur https://technet.microsoft.com/en-us/library/security/2755801pour en savoir plus) tout comme les utilisateurs de Google Chrome, tous les autres devant télécharger la mise à jour APSB15-01 manuellement. Ceci vaut aussi pour les utilisateurs sur Mac OS x et Linux.
Nous sommes partagés quant à la priorité suivante : les utilisateurs de serveurs IAS/NPS devraient consulter le bulletin MS15-007qui résout un problème de déni de service sur la gamme de serveurs Microsoft. Tout un chacun devrait s’intéresser aux vulnérabilités connues MS15-001 et MS15-003.
En résumé, il s’agit d’un démarrage lent voire classique pour l’année 2015 en matière de sécurité. Nous attendons aussi une mise à jour logicielle d’Oracle ce mois-ci.Nous vous tiendrons informés dès que nous aurons plus d’informations.