Pour le premier Patch Tuesday de 2017, Microsoft a exceptionnellement concocté un menu extrêmement digeste. C'est pour ainsi dire un record de légèreté avec la correction de seulement trois vulnérabilités de sécurité.

patch parkinson Les trois mises à jour MS17-001, MS17-002 et MS17-004 sont chacune relatives à une seule faille. On mettra la mise à jour MS17-003 à part dans la mesure où elle comble des vulnérabilités de sécurité affectant Flash Player d'Adobe.

Rappelons en effet que des bibliothèques logicielles Adobe Flash sont contenues dans IE10, IE11 et Microsoft Edge. Leur mise à jour est intégrée avec celle du navigateur pour Windows 8.1 et 10.

MS17-001 concerne Microsoft Edge pour une vulnérabilité d'élévation de privilèges. MS17-002 corrige une vulnérabilité pouvant permettre une exécution de code à distance lors de l'ouverture d'un fichier Office spécialement conçu (Word 2016).

MS17-004 est une mise à jour de sécurité pour corriger une vulnérabilité de déni de service affectant le service LSASS (Local Security Authority Subsystem Service ; identification des utilisateurs d'un domaine ou locaux) et pour Windows Vista, Windows 7, Windows Server 2008 et R2.

Les trois mises à jour MS17-001, MS17-002 et MS17-004 sont considérées importantes (pas critiques). On soulignera cependant que les deux failles pour MS17-001 et MS17-004 ont fait l'objet d'une divulgation publique avant la mise à disposition du patch idoine.

À partir du mois prochain, Microsoft organisera différemment l'information relative à ses correctifs de sécurité via le Security Updates Guide (Guide des mises à jour de sécurité) qui est actuellement en préversion.

N.B. : La mise à jour MS17-002 (Office) est indiquée importante dans la majeure partie de la documentation fournie par Microsoft. Toutefois, elle est signalée critique dans une synthèse des bulletins de sécurité.