Les compteurs ont été remis à zéro et Microsoft débute l'année avec huit mises à jour de sécurité diffusées dans le cadre de son rendez-vous de chaque deuxième mardi du mois. Ce qui est communément appelé Patch Tuesday.

Microsoft-logo Ce premier Patch Tuesday de 2015 est pour ainsi dire une exclusivité Windows. Le système d'exploitation est en effet le seul produit concerné par des rustines et il n'y a par exemple rien à signaler du côté d'Office, ni même de faille à combler pour Internet Explorer lui-même.

Concernant Internet Explorer, l'année 2014 nous avait pourtant habitués à des corrections de vulnérabilités chaque mois. Cette absence est donc une petite surprise. L'année 2015 sera-t-elle différente pour ce navigateur ?

Dans le lot des mises à jour proposées, on distingue MS15-001 et MS15-003 pour la correction de vulnérabilités d'élévation de privilèges affectant toutes les versions de Windows. Il s'agit des deux vulnérabilités qui avaient fait l'objet d'une divulgation publique par Google dans le cadre de son Project Zero (et ne concernent donc pas uniquement Windows 8.1).

Après un délai de 90 jours suite à un signalement auprès de Microsoft, Google avait publié des détails techniques sur les vulnérabilités (en vertu de la politique du Project Zero), sans donc attendre la disponibilité d'un correctif. Pour MS15-003, cette divulgation publique a eu lieu deux jours avant ce Patch Tuesday alors que Microsoft avait demandé à Google de patienter encore un peu.

Passablement énervé, Microsoft n'a guère apprécié que Google fasse la sourde oreille et l'a fait savoir publiquement. Pour MS15-001 et MS15-003, la firme de Redmond ne remercie pas Google (le Project Zero) pour sa collaboration mais le fait par contre pour une autre vulnérabilité corrigée dans MS15-008 qui n'a pas été dévoilée publiquement.

Cela étant, aucune exploitation n'a été détectée contrairement à une vulnérabilité d'élévation de privilèges (pour tous les Windows) qui est utilisée dans des attaques ciblées mais en combinaison avec d'autres vulnérabilités. Elle est corrigée dans MS15-004 dont l'indice de gravité n'est pas critique mais important.

La seule mise à jour critique est MS15-002 pour une vulnérabilité d'exécution de code à distance dans le service Telnet de Windows. Elle a été signalée confidentiellement. Microsoft n'a pas connaissance d'attaques ce qui pourrait être le cas si un attaquant envoyait des paquets spécialement conçus à un serveur Windows. Telnet peut être installé sur toutes les systèmes Windows mais ce n'est pas le cas par défaut.

Rappelons que pour la première fois, Microsoft n'a pas proposé un préavis public avant la mise en ligne des mises à jour de ce Patch Tuesday.