Patch Tuesday : début d’année en douceur pour Microsoft
Avec seulement une seule mise à jour critique, le premier Patch Tuesday de 2015 est léger pour un début d’année tout en douceur vu qu’il n’y avait pas de correctif pour Internet Explorer.
C’est ce mardi 13 janvier 2015 que Microsoft a publié sa première série de mises à jour de l’année dans le cadre de con habituel Patch Tuesday du deuxième mardi du mois. Ce début d’année et tout en douceur vu qu’un seul correctif est classé critique. Il est d’autant plus en douceur que , pour la première fois depuis de très nombreux mois, aucun patch pour Internet Explorer n’est proposé.
De fait, toutes les vulnérabilités corrigées par ce premier Patch Tuesday de l’année concernent les versions desktop et serveur de Windows, soit Vista, Windows 7, Windows 8 et 8.1, Windows RT, mais aussi Windows Server 2003, 2008 et 2012.
La seule faille classée critique est référencée CVE-2015-0014 et notifiée MS15-002. Il s’agit d’une vulnérabilité dans Telnet qui rendait possible l’exécution de code à distance via la saturation de la mémoire tampon de l’application. Les sept autres failles sont pour leur part classées importantes.
Ce premier Patch Tuesday de l’année est aussi l’occasion pour Microsoft de modifier ses conditions de diffusion du bulletin de sécurité avancé (Advance Notification Service). Désormais, ceux-ci sont réservés aux clients de l’entreprise disposant d’un support Premier, ou affiliés à un programme spécifique.
Pour finir, ce Patch Tuesday a été marqué par l’escarmouche entre Microsoft et Google au sujet de la faille référencée MS15-004. Celle-ci a été signalée le 30 septembre dernier à Microsoft par l’équipe Project Zero de Google. Sans publication d’un correctif dans un délai de 90 jours, Google a publié les détails de la vulnérabilité, ce qui n’a bien évidemment pas été du goût de Microsoft. C’est ainsi que des responsables de la firme de Redmond ont réagi en s’élevant contre cette manière de présenter les choses tout en demandant plus de coordination entre les différents acteurs du secteur.
Il est à souligner que Microsoft n’a pas jugé bon de qualifier cette faille MS15-004 de critique en lui attribuant seulement le statut important.