Les records sont faits pour être battus. Après un mois exceptionnel en termes de publication de correctifs de sécurité pour Microsoft en février 2020, la firme de Redmond remet le couvert. Et le moins que l'on puisse dire c'est qu'elle ne fait pas les choses à moitié avec ce mois-ci une salve massive de 115 vulnérabilités corrigées. De très nombreux systèmes et outils sont touchés : Windows, Edge, ChakraCore, Internet Explorer, Exchange Server, Office et Web Apps, Azure DeOps, Windows Defender, Visual Studio et Open Source Software.
Sur l'ensemble des failles bénéficiant d'un correctif, 26 ont été classées comme critiques, 88 importantes et une seule présente un risque modéré. « Parmi ces 26 vulnérabilités critiques, 17 affectent les navigateurs et les moteurs de script, 4 la plateforme Media Foundation, 2 l'API GDI+ et les 3 restantes des fichiers LNK ainsi que Microsoft Word et Dynamics Business Central. Microsoft a également publié un patch pour une vulnérabilité RCE dans Microsoft Word », a expliqué Animesh Jain, responsable produits chez Qualys spécialisée dans les vulnérabilités de signatures. « En termes de volume et de gravité, ce Patch Tuesday est plutôt important. Parmi les failles comblées, plusieurs permettent à un utilisateur distant d'exécuter du code malveillant comme la CVE-2020-0852 affectant Word, la CVE-2020-0872 qui touche Application Inspector, (CVE-2020-0905) pour Dynamics Business Central.
265 correctifs à appliquer depuis début 2020
« Déployer les correctifs pour les vulnérabilités qui affectent des moteurs de script, des fichiers LNK (CVE-2020-0684), l'API GDI+(CVE-2020-0831, CVE-2020-0883) et Media Foundation (CVE-2020-0801, CVE-2020-0809, CVE-2020-0807 et CVE-2020-0869) est une priorité pour les équipements de type poste de travail, à savoir tout système utilisé pour accéder à la messagerie ou à Internet via un navigateur. Sont également concernés les serveurs multi-utilisateurs faisant office de postes de travail distants. Bien qu'aucune des failles répertoriées ce mois-ci n'a fait l'objet d'un exploit connu, l'application des correctifs est vivement recommandé. Depuis le début de l'année, Microsoft a procédé à 265 correctifs sur le premier trimestre écoulé. « Il sera intéressant de voir si ce rythme se poursuit tout au long de l'année », a indiqué de son côté la Zero Day Initiative.