Le Patch Tuesday de Microsoft fait un retour en force

Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

Actualités Le Patch Tuesday de Microsoft fait un retour en force

Publié le 15 mars 2017 à 09:52 par Jérôme G.

Lire sur mobile

Une flopée de correctifs pour le Patch Tuesday de mars de Microsoft. Il faut dire qu'il contient des patchs initialement prévus pour février.

Après le report en février, le Patch Tuesday de Microsoft effectue son retour. De fait, la collection de mises à jour de sécurité pour ce mois de mars est copieuse. Un total de 18 mises à jour pour Windows, Microsoft Edge, Internet Explorer, Microsoft Office et Exchange. Parmi celles-ci, neuf sont critiques.

Microsoft-logo À souligner que ce total prend en compte une mise à jour critique pour Flash Player dans Microsoft Edge et IE qui est diffusée via Windows Update.

On remarquera par ailleurs que Microsoft publie les bulletins de sécurité détaillés. Il était prévu de remplacer cette publication par un Guide des mises à jour de sécurité se présentant sous la forme d'une base de données avec la possibilité d'effectuer des recherches. Microsoft a jugé nécessaire d'attendre encore un peu afin de faciliter la transition pour ses clients.

La nouvelle fournée de correctifs s'occupe de combler la vulnérabilité affectant le traitement du trafic SMB dans Windows (CVE-2017-0016) qui a été divulguée publiquement début février (une preuve de concept). De même pour la vulnérabilité (CVE-2017-0038) affectant la bibliothèque logicielle gdi32.dll dans Windows qui a été divulguée publiquement mi-février par Project Zero de Google. Respectivement, elles sont corrigées dans MS17-012 et MS17-013. D'après Microsoft, il n'y a pas eu d'exploitation dans des attaques.

On notera cependant que Microsoft ne fait étrangement pas état d'une divulgation publique pour CVE-2017-0038. Project Zero a d'abord rapporté cette faille de manière confidentielle à Microsoft en novembre 2016, soulignant une première correction incomplète en juin 2016. Le composant graphique gdi32.dll est concerné par d'autres patchs, dont un pour corriger une vulnérabilité CVE-2017-0005 qui est actuellement exploitée dans des attaques (sans divulgation publique).

La mise à jour MS17-007 pour Microsoft Edge corrige 32 vulnérabilités, et MS17-006 en corrige 12 pour Internet Explorer. Rappelons que Project Google a également divulgué publiquement une vulnérabilité affectant les navigateurs de Microsoft qui est ici corrigée (CVE-2017-0037). Il n'est fait mention d'une exploitation que pour une vulnérabilité d'altération de mémoire dans IE.