Microsoft a décidé de faire léger pour entamer 2010, alors que l'année 2009 aura été marquée par un Patch Tuesday record culminant à 13 mises à jour de sécurité. Une bonne nouvelle d'autant que mardi prochain, Adobe va aussi publier des correctifs dont un très attendu.

La mise à jour de Microsoft sera à destination de tous les Windows, allant de XP à 7 en passant par Vista. Elle permettra de corriger une seule vulnérabilité dont l'indice de gravité sera bas pour la quasi-totalité des Windows. Cela signifie que cette vulnérabilité est extrêmement difficile à exploiter ou que son impact est minime. L'exception à la règle sera pour Windows 2000 où cette vulnérabilité est annoncée critique.

Un oubli ? Oui, car Microsoft ne publiera pas le correctif d'une vulnérabilité pour laquelle un code exploit a pourtant été rendu public mi-novembre 2009. En dépit de cette publication, Microsoft n'a eu connaissance d'aucune attaque. Cette vulnérabilité est de type déni de service dans SMB ( Service Message Block ), un service utilisé pour le partage de fichiers sous Windows. Elle affecte Windows 7 et Windows Server 2008 R2.

Dans son avis de sécurité relatif, Micosoft précise que cette vulnérabilité SMB ne peut pas être exploitée pour prendre le contrôle d'un système ou installer un malware. Le cas échéant, la mesure de contournement préconisée consiste à bloquer les ports TCP 139 et 445.