L'heure du Patch Tuesday du mois d'avril a sonné pour Microsoft. Au programme, 13 mises à jour de sécurité pour corriger au total près d'une trentaine de vulnérabilités affectant des produits comme Windows, Microsoft Edge, Internet Explorer ou encore d'anciennes versions d'Office. Parmi ces mises à jour, 6 sont considérées critiques.
Ce n'est toutefois pas le cas de MS16-047 qui corrige une vulnérabilité dans Windows. Ce patch était très attendu par les administrateurs après un buzz autour d'une vulnérabilité au petit nom de Badlock. Sauf que pour Microsoft, ladite faille n'est pas aussi dangereuse qu'ils pouvaient le penser.
Badlock est une vulnérabilité qui concerne Samba (implémentation libre du protocole SMB de Microsoft) et Windows. Elle avait été annoncée comme " cruciale ", ce qui n'est manifestement pas l'avis de Microsoft pour qui elle affecte les applications utilisant les protocoles SAM ou LSAD mais pas SMB lui-même. Elle est cataloguée en tant que vulnérabilité de type élévation de privilèges et pour une exploitation locale.
De manière plus étonnante, Microsoft a par contre attendu le jour de son Patch Tuesday pour mettre à jour le composant Flash Player présent par défaut dans ses navigateurs Internet Explorer 10 et 11, ainsi que Microsoft Edge. Adobe avait pourtant publié une mise à jour de sécurité en urgence la semaine dernière, dont pour une vulnérabilité exploitée dans des attaques par ransomware. Cette faille référencée CVE-2016-1019 est bel et bien concernée par la mise à jour de Microsoft d'aujourd'hui (M16-050).
Hormis le cas de Flash Player, qui dépend après tout davantage d'Adobe, on notera que la mise à jour critique MS16-039 fait référence à deux 0-day. Autrement dit, des exploitations avant la disponibilité du correctif idoine. Relative au composant Microsoft Graphics, la mise à jour s'applique à toutes les versions de Windows, ainsi qu'à Office 2007 à 2010, .NET, Skype et Lync.
Le contenu détaillé du Patch Tuesday d'avril est disponible ici.
