Ce premier Patch Tuesday de 2014 était prévu léger et non critique. C'est effectivement le cas. Microsoft livre ses rustines de sécurité via quatre bulletins. Elles visent à combler des vulnérabilités dans Windows, Office et Dynamics AX. Les quatre mises à jour proposées sont jugées importantes et il n'y a donc pas de mise à jour critique.
Sont uniquement concernés Windows XP et Server 2003. De pair avec une vielle faille dans Adobe Reader, la vulnérabilité du noyau Windows a déjà été utilisée dans le cadre d'attaques ciblées et a fait l'objet d'une divulgation publique en novembre.
De par sa nature, cette faille ne peut pas être exploitée à distance. Un attaquant doit être connecté au système avec des informations d'identification valides et exécuter un malware. C'est pourquoi il y a une exploitation avec du phishing ciblé comportant un lien PDF. Si l'utilisateur qui dispose d'une version d'Adobe Reader non à jour clique sur le lien, l'attaquant obtient des droits administrateur sur la machine.
Microsoft profite par ailleurs de MS14-002 pour rappeler une nouvelle fois que le support de Windows XP prend fin le 8 avril 2014. À partir de cette date, Windows XP ne recevra plus de mise à jour de sécurité. De quoi en faire une cible de choix pour les attaques.
Pour les autres mises à jour, il n'y a pas eu de divulgation publique. MS14-001 est la seule à faire état de la possibilité d'une exécution de code à distance via des vulnérabilités dans Word et Office Web Apps. L'attaquant n'a ainsi pas besoin d'avoir déjà un accès sur la machine compromise. Toutes les versions de Word sont concernées, sauf pour Mac.
Avec MS-14-003, les utilisateurs de Windows 7 - la version de Windows la plus populaire - ne sont en outre pas exemptés de Patch Tuesday.
