Microsoft commence l’année avec un nombre de mises à jour historiquement bas
Publié par amol sarwate dans The Laws of Vulnerabilities
Le premier Patch Tuesday de l’année commence avec une publication qui ne résout que trois vulnérabilités, c’est le mois de janvier le plus sobre jamais enregistré en termes de patchs. Ces correctifs ont été publiés pour Microsoft Office, le navigateur Edge et le service du sous-système d’autorité de sécurité locale (LSASS). Les administrateurs système devraient être heureux de cette mise à jour exceptionnellement minimaliste.
A compter du mois prochain, Microsoft remplacera le système actuel de publication mensuelle par un document à « destination unique permettant de consulter et rechercher des informations sur les vulnérabilités de sécurité ». Intitulé Guide des mises à jour de sécurité, ce nouveau portail de sécurité s’appuie sur une base de données en ligne qui, plutôt que de devoir parcourir une liste de documents, permettra de trier, rechercher et filtrer la base de données pour y trouver des détails sur un bulletin de sécurité particulier et ses mises à jour associées.
La priorité des mises à jour publiées ce mois-ci est le bulletin du service du sous-système d’autorité de sécurité locale (LSASS) destiné aux administrateurs Windows Server 2008. Ce bulletin MS17- 004 résout une situation de déni de service pouvant permettre à des attaquants non authentifiés de déclencher une réinitialisation automatique. Afin d’exploiter la vulnérabilité, un attaquant non authentifié peut envoyer une requête d’authentification créée de toute pièce pour provoquer une réinitialisation. Portant l’intitulé CVE-2017-0004, cette vulnérabilité a été divulguée publiquement avant la disponibilité du correctif et un exploit (PoC) pourrait bientôt voir le jour. Windows 7 et Vista sont également affectés.
L’autre priorité absolue pour les postes de travail est le bulletin MS17-002 critique pour Office, il s’applique à Word 2016 et SharePoint 2016. En effet, un attaquant peut envoyer un fichier malveillant sous la forme de pièce jointe et prendre le contrôle total du système si ce fichier est ouvert avec le logiciel affecté.
Quant au bulletin Microsoft Edge MS17-001, il concerne Windows 10 et Windows Server 2016. Il permet à un attaquant d’accéder à l’information d’un domaine et de les injecter dans un autre pour obtenir des privilèges élevés. Immatriculée CVE-2017-0002, cette vulnérabilité a été divulguée publiquement avant la disponibilité du patch.