Dernier Patch Tuesday de l’année pour Microsoft avec une mise à jour de sécurité qui livre 12 bulletins, dont 6 critiques et 6 autres qualifiés d’importants, le tout réunissant 48 correctifs. L’un des bulletins critiques concerne le lecteur Flash d’Adobe (MS16-154) avec un risque d’exécution de code à distance. Les 5 autres portent sur les navigateurs web Internet Explorer (MS16-144) et Edge (MS16-145), le composant Graphics (MS16-146) et les services Uniscribe pour l’affichage de texte en écritures complexes de Windows (MS16-147), ainsi que la suite bureautique Office (MS16-148). Dans ces 5 cas, il y a également un risque d’exécution de code à distance. La mise à jour d’IE corrige trois vulnérabilités (CVE-2016-7282, CVE-2016-7281 et CVE-2016-7202) qui avaient déjà été divulguées publiquement, rappelle l’éditeur Qualys. Concernant Edge, les trois vulnérabilités comblées avaient elles aussi déjà été révélées. Le code à distance s’exécute lorsque l’internaute ouvre une page web malveillante.
Les six autres bulletins du Patch Tuesday de décembre 2016, notés importants, se rapportent à Windows. Les versions concernées sont Vista, Windows Server 2008, Windows 7, Server 2008 R2, 8.1, Server 2012, Server 2012 R2, RT 8.1, ainsi que Windows 10 et Server 2016. Dans le détail, la mise à jour de sécurité MS16-149 vient colmater un ensemble de failles dont les plus sérieuses pourraient autorisation une élévation de privilèges si un attaquant localement authentifié exécutait une application développée à cet effet. Quant aux updates MS16-510, 151 et 152, ils s’appliquent au Secure Kernel Mode et au Windows Kernel, les deux premiers lots de correctifs présentant des risques similaires aux précédents en cas d’élévation de privilèges. L'autre bulletin, MS16-152, rectifie une faille qui pourrait déboucher sur une divulgation d’information dans le cas où le kernel de Windows gérera de façon inappropriée les objets en mémoire.
Nombre de bulletins de sécurité en hausse de 15% sur 2016
Enfin, les bulletins MS16-153 et MS16-155 concernent respectivement le pilote Common Log File System et le framework .Net. Au total, sur l'ensemble de l'année 2016, l’éditeur de Windows aura diffusé 155 bulletins de sécurité, soit une hausse d’environ 15% par rapport à 2015, souligne dans un billet Amol Sarwate, directeur de l’ingénierie du spécialiste en sécurité Qualys.
« Sur les plus de 3 milliards de scans que nous effectuons chaque année, nous avons vu une augmentation d’environ 20% du nombre total de failles Microsoft », pointe-t-il. Cette augmentation peut être attribuée à la croissance du volume de scanning et à la hausse des bulletins diffusés. Et l’année n’est pas terminée.