Le Patch Tuesday de Microsoft fait un retour en force

Le par  |  3 commentaire(s)
patch parkinson

Une flopée de correctifs pour le Patch Tuesday de mars de Microsoft. Il faut dire qu'il contient des patchs initialement prévus pour février.

Après le report en février, le Patch Tuesday de Microsoft effectue son retour. De fait, la collection de mises à jour de sécurité pour ce mois de mars est copieuse. Un total de 18 mises à jour pour Windows, Microsoft Edge, Internet Explorer, Microsoft Office et Exchange. Parmi celles-ci, neuf sont critiques.

Microsoft-logoÀ souligner que ce total prend en compte une mise à jour critique pour Flash Player dans Microsoft Edge et IE qui est diffusée via Windows Update.

On remarquera par ailleurs que Microsoft publie les bulletins de sécurité détaillés. Il était prévu de remplacer cette publication par un Guide des mises à jour de sécurité se présentant sous la forme d'une base de données avec la possibilité d'effectuer des recherches. Microsoft a jugé nécessaire d'attendre encore un peu afin de faciliter la transition pour ses clients.

La nouvelle fournée de correctifs s'occupe de combler la vulnérabilité affectant le traitement du trafic SMB dans Windows (CVE-2017-0016) qui a été divulguée publiquement début février (une preuve de concept). De même pour la vulnérabilité (CVE-2017-0038) affectant la bibliothèque logicielle gdi32.dll dans Windows qui a été divulguée publiquement mi-février par Project Zero de Google. Respectivement, elles sont corrigées dans MS17-012 et MS17-013. D'après Microsoft, il n'y a pas eu d'exploitation dans des attaques.

On notera cependant que Microsoft ne fait étrangement pas état d'une divulgation publique pour CVE-2017-0038. Project Zero a d'abord rapporté cette faille de manière confidentielle à Microsoft en novembre 2016, soulignant une première correction incomplète en juin 2016. Le composant graphique gdi32.dll est concerné par d'autres patchs, dont un pour corriger une vulnérabilité CVE-2017-0005 qui est actuellement exploitée dans des attaques (sans divulgation publique).

La mise à jour MS17-007 pour Microsoft Edge corrige 32 vulnérabilités, et MS17-006 en corrige 12 pour Internet Explorer. Rappelons que Project Google a également divulgué publiquement une vulnérabilité affectant les navigateurs de Microsoft qui est ici corrigée (CVE-2017-0037). Il n'est fait mention d'une exploitation que pour une vulnérabilité d'altération de mémoire dans IE.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1956817

qui a été divulguée publiquement
mi-février par Project Zero de Google.
Respectivement, elles sont corrigées
dans MS17-012 et MS17-013. D'après
Microsoft, il n'y a pas eu d'exploitation
dans des attaques.



Et heureusement !

Merci Google de montrer à tout le monde des vulnérabilités sur le système le plus utilisé sur les PC ...
Le #1956845
FRANCKYIV a écrit :


qui a été divulguée publiquement
mi-février par Project Zero de Google.
Respectivement, elles sont corrigées
dans MS17-012 et MS17-013. D'après
Microsoft, il n'y a pas eu d'exploitation
dans des attaques.



Et heureusement !

Merci Google de montrer à tout le monde des vulnérabilités sur le système le plus utilisé sur les PC ...


En même temps Google n est pas non plus exempte de défauts...
Le #1956848
LERIDER44 a écrit :

FRANCKYIV a écrit :


qui a été divulguée publiquement
mi-février par Project Zero de Google.
Respectivement, elles sont corrigées
dans MS17-012 et MS17-013. D'après
Microsoft, il n'y a pas eu d'exploitation
dans des attaques.



Et heureusement !

Merci Google de montrer à tout le monde des vulnérabilités sur le système le plus utilisé sur les PC ...


En même temps Google n est pas non plus exempte de défauts...


Ben totalement, ma phrase était ironique hein
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]